> Tous les forums > Forum Sécurité
 Libre Office ...attention,en attendant la MAJSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
miccmacc3
  Posté le 31/07/2019 @ 17:20 
Aller en bas de la page 
Astucien

Bonjour les amis

https://thehackernews.com/2019/07/libreoffice-vulnerability.html

Partie du texte:

Le simple fait d'ouvrir un document dans LibreOffice peut pirater votre ordinateur (non corrigé)

tilisez-vous LibreOffice?

Vous devriez faire très attention aux fichiers de documents que vous ouvrirez avec le logiciel LibreOffice au cours des prochains jours.

En effet, LibreOffice contient une vulnérabilité grave d’exécution de code non corrigée qui pourrait introduire des malwares dans votre système dès que vous ouvrez un fichier document malicieux.

LibreOffice est l’une des alternatives les plus populaires et open source à la suite Microsoft Office et est disponible pour les systèmes Windows, Linux et macOS.


Plus tôt ce mois-ci, LibreOffice avait publié la dernière version 6.2.5 de son logiciel, qui corrige deux vulnérabilités graves (CVE-2019-9848 et CVE-2019-9849), mais le correctif de cette dernière a été contourné, affirme le chercheur en sécurité Alex Inführ. .

Bien qu'Inführ n'ait pas encore divulgué les détails de la technique lui permettant de contourner le correctif, l'impact de cette vulnérabilité reste le même, comme expliqué ci-dessous.

1.) CVE-2019-9848 : cette vulnérabilité, qui existe toujours dans la dernière version, réside dans LibreLogo, un script graphique vectoriel de tortue programmable livré par défaut avec LibreOffice.

LibreLogo permet aux utilisateurs de spécifier dans un document des scripts préinstallés pouvant être exécutés pour divers événements tels que le passage de la souris.



Modifié par miccmacc3 le 31/07/2019 17:21
Publicité
miccmacc3
 Posté le 31/07/2019 à 17:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Il avait pourtant déjà été corriger récemment :

https://nvd.nist.gov/vuln/detail/CVE-2019-9848

LibreOffice possède une fonctionnalité permettant aux documents de spécifier que des scripts préinstallés peuvent être exécutés sur divers événements de document tels que le survol de la souris, etc. LibreOffice est généralement associé à LibreLogo, un script graphique vectoriel de tortue programmable, qui peut être manipulé pour exécuter des opérations arbitraires. commandes python. En utilisant la fonctionnalité d'événement document pour obliger LibreLogo à exécuter le python contenu dans un document, un document malveillant pourrait être construit, ce qui exécuterait des commandes python arbitraires en mode silencieux et sans avertissement. Dans les versions corrigées, LibreLogo ne peut pas être appelé à partir d’un gestionnaire d’événements de document. Ce problème concerne: Les versions de Document Foundation LibreOffice antérieures à 6.2.5.

Duskley
 Posté le 31/07/2019 à 17:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bonjour

tortue programmable

le python contenu dans un document

C'est un zoo ou une suite bureautique ?

jujube2
 Posté le 31/07/2019 à 17:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Ekalb
 Posté le 01/08/2019 à 09:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour;

obliger LibreLogo à exécuter le python

Pauvre bête. On comprend maintenant pourquoi il faut prendre ses précautions en utilisant LibreOffice sinon on risque d'avoir les foudres de la Société protectrice des animaux.

Bon, je sors du sujet...



Modifié par Ekalb le 01/08/2019 09:02
Constance
 Posté le 01/08/2019 à 14:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut .o/

C'est moche, ça :(

Au passage, le descriptif de la fonctionnalité, lors de l'installation personnalisée, ne me semble pas clair… en le lisant je pensais que c'était juste une barre d'outil, peut-être un skin pour les barres d'outils vu que ça parle d'images de tortue ?_? … en donc en fait ça permet la prise en charge de scripts en Python, euh, OK o_O



Modifié par Constance le 01/08/2019 14:22
papyalain01
 Posté le 01/08/2019 à 17:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour, heu....bon ben tant pis.

longchris42
 Posté le 01/08/2019 à 18:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

,

Je sais le sujet résolu, mais...

Je vais, peut-être, poser une question bête :

Est-ce qu'en ouvrant nos documents persos qui se trouvent sur le pc, nous risquons des problèmes ?

Je ne le pense pas mais je préfère demander.

Merci, bonne soirée et bonnes vacances.

ribotb
 Posté le 02/08/2019 à 09:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Ceci dit il ne faut pas trop s'affoler non plus :

La CVE-2019-9848 concerne LibreLogo, un composant que personnellement je n'installe pas.

La CVE-2019-9849 concerne les documents qui veulent récupérer des ressources distantes (genre de documents avec lequel je ne suis pas personnellement confronté).
Il y a une option à activer dans LO (mode furtif) grâce à laquelle seuls les documents provenant d'emplacements réputés 'de confiance' sont autorisés à récupérer des ressources distantes.

On n'est donc pas forcément en danger.

Bernard

Publicité
jujube2
 Posté le 02/08/2019 à 11:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Ceci dit il ne faut pas trop s'affoler non plus :

attitude normale avec avec les liens que Micmacc3 cherche et publie

Duskley
 Posté le 02/08/2019 à 12:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

jujube2 a écrit :

attitude normale avec avec les liens que Micmacc3 cherche et publie

Je confirme.

miccmacc3
 Posté le 02/08/2019 à 20:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

ribotb a écrit :

Bonjour,

Ceci dit il ne faut pas trop s'affoler non plus :

La CVE-2019-9848 concerne LibreLogo, un composant que personnellement je n'installe pas.

La CVE-2019-9849 concerne les documents qui veulent récupérer des ressources distantes (genre de documents avec lequel je ne suis pas personnellement confronté).
Il y a une option à activer dans LO (mode furtif) grâce à laquelle seuls les documents provenant d'emplacements réputés 'de confiance' sont autorisés à récupérer des ressources distantes.

On n'est donc pas forcément en danger.

Bernard

Bonjour ribotb

Je vois qu'il y en a qui suivent et c'est rassurant .

Tu comprends bien ce que je souhaitais rapporter .

https://www.securitynewspaper.com/2019/07/29/critical-libreoffice-vulnerability-allows-hackers-to-take-control-of-exposed-devices/

Partie du texte:

L'exploitation de la deuxième vulnérabilité (CVE-2019-9849) permettrait l'injection de code arbitraire distant dans un document. la faille persiste même si le «mode furtif» de LibreOffice est activé. Cette fonctionnalité n'est pas activée par défaut, mais les utilisateurs peuvent l'activer pour indiquer à un document LibreOffice de récupérer les ressources distantes uniquement à partir d'emplacements approuvés.

Les spécialistes de la sécurité des applications Web de l'Institut international de la cybersécurité (IICS) recommandent aux utilisateurs potentiellement concernés de mettre à jour ou de réinstaller leur version de LibreOffice afin de supprimer le composant LibreLogo au moins jusqu'à ce que la société publie les correctifs de mise à jour complets.

Pour aller un peu plus loin avec toi ,ce qui m'ennuie c'est ce fameux RDP

J'ai déja posté à ce sujet

Bon WE @ tous



Modifié par miccmacc3 le 02/08/2019 20:39
Duskley
 Posté le 02/08/2019 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Pour aller un peu plus loin avec toi ,ce qui m'ennuie c'est ce fameux RDP

Où as-tu vu qu'il était question du bureau à distance ?

miccmacc3
 Posté le 05/08/2019 à 18:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Duskley a écrit :

Pour aller un peu plus loin avec toi ,ce qui m'ennuie c'est ce fameux RDP

Où as-tu vu qu'il était question du bureau à distance ?

Bonjour ami Duskley

Question pertinente .

Je ne raccourcis plus les liens,comme beaucoup ici le souhaite :

https://books.google.fr/books?id=D6sGjfl5htkC&pg=PA165&lpg=PA165&dq=what+are+%22remote+resources%22+in+libre++office?&source=bl&ots=ICKSJxy6dv&sig=ACfU3U09DJfXnQelBnp0aA__g-5sCfXHZg&hl=fr&sa=X&ved=2ahUKEwi56I6FjuzjAhUXAWMBHZwwBrk4ChDoATAQegQICRAB#v=onepage&q=what%20are%20%22remote%20resources%22%20in%20libre%20%20office%3F&f=false

Cette vulnérabilité etant maintenant corrigé:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9849

Sachant que tu maitrises parfaitement l'anglais(contrairement à moi )je ne traduis pas :

https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9849

miccmacc3
 Posté le 05/08/2019 à 18:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

On parle ici de remote ressource mais ce processus utilise le même principe que le RDP

https://allelesecurity.com/asa-2019-00457/

Bonne soirée à tous



Modifié par miccmacc3 le 05/08/2019 18:27
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
296,53 € livréeCaméra sportive GoPro HERO8 Black à 296,53 € livrée
Valable jusqu'au 16 Avril

Amazon Allemagne fait une promotion sur la caméra sportive GoPro Hero 8 Black qui passe à 291,43 € (avec la TVA ajustée). Comptez 5,10 € pour la livraison en France soit un total de 296,53 € livrée au lieu de 379 €. Filmez en 4K, profitez d'une stabilisation performante et de modes vidéo toujours aussi complets. Cette caméra sportive est étanche et robuste, possède un écran tactile 2" et des fonctionnalités connectées Wi-Fi et Bluetooth. Créez vos réglages, diffusez en live en 1080p et appréciez le confort de l'application mobile dédiée. 

Vous pouvez utiliser votre compte Amazon FR sur Amazon DE et il n'y a pas de douane.


> Voir l'offre
88,80 €Disque dur externe portable Toshiba Canvio Basics 4 To USB 3.0 à 88,80 €
Valable jusqu'au 16 Avril

Amazon propose actuellement le disque dur externe portable Toshiba Canvio Basics 4 To USB 3.0 à 88,80 € seulement ! Avec ses 4 To et sa connectique USB 3.0 compatible USB 2.0, vous aurez de quoi stocker rapidement et emporter avec vous vos photos, vos films, etc.  La livraison est gratuite.


> Voir l'offre
10,99 €Bloc multiprise parasurtenseur BRENNENSTUHL 8 prises à 10,99 €
Valable jusqu'au 18 Avril

Cdiscount fait une promotion sur le bloc multiprise parasurtenseur BRENNENSTUHL avec 8 prises à orientation inversée qui passe à 10,99 € au lieu de 20 €. Le câble fait 1,4 m.


> Voir l'offre

Sujets relatifs
libre office et ssms payant
Paramétrer le pare-feu pour Libre Office
Trojan au téléchargement de Libre Office
Edge attention alerte
Port TCP 3389 .Attention!
attention a ce mail
Vpn attention aux failles de sécurité
Office Outlook et cookies
Reseau social ...attention à la façon de vous connectez!
Firefox/add-On/attention à celui-ci
Plus de sujets relatifs à Libre Office ...attention,en attendant la MAJ
 > Tous les forums > Forum Sécurité