https://www.opennet.dev/openforum/vsluhforumID3/108413.html В свободном офисном пакете LibreOffice выявлена (https://www.libreoffice.org/about-us/security/advisories/cve-2016-4324/) уязвимость (CVE-2016-4324 (https://security-tracker.debian.org/tracker/CVE-2016-4324)), позволяющая (http://blog.talosintel.com/2016/06/vulnerability-spotlight-libreoffice-rtf.html) инициировать выполнение кода злоумышленника при открытии специально оформленного документа в формате RTF. Причиной уязвимости является обращение к уже освобождённому блоку памяти (Use After Free) в парсере формата RTF, при наличии в документе одновременно таблиц стилей для нормальных и надстрочных символов (superscript). Проблема устранена в опубликованном (https://blog.documentfoundation.org/blog/2016/06/23/libreoffice-5-1-4-available-for-download/) на прошлой неделе выпуске LibreOffice 5.1.4.<br><br>URL: https://www.libreoffice.org/about-us/security/advisories/cve-2016-4324/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44699<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#31 Fri, 01 Jul 2016 09:18:04 GMT Программеры LO зарабатывают тем, что сами вставляют в продукт баги и вульнерабилитисы, после чего их "обнаруживают", тем и живут. Ниже ссылка про технологию и ее обсуждение<br><br>http://forumooo.ru/index.php/topic,5399.msg33984.html#msg33984<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#30 Fri, 01 Jul 2016 07:18:06 GMT галя(много пробелов).rtf?<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#29 Fri, 01 Jul 2016 03:18:07 GMT &gt; Может, потому что подразумевалось "изгаляться"?<br><br>Изгаля... Галя? Какая такая Галя? Скинь на мыло, посмотрим на эту Галю.<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#28 Thu, 30 Jun 2016 20:09:50 GMT Это как раз не достаточная свобода доступа к процессу разработки (нет changelog для 5.0.6)<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#27 Thu, 30 Jun 2016 16:52:40 GMT &gt;будет пользовать LibreOffice из дистрибутива. <br><br>например. https://security-tracker.debian.org/tracker/CVE-2016-4324<br><br>в sid-е - "уже", 5.1.4~rc2-2<br><br>в stable - уже в 4.3.3-2+deb8u5 -- в security-обновлении<br> https://www.debian.org/security/2016/dsa-3608<br><br>(и пока не в "поинт"-релизе, там +deb8u4 / vulnerable)<br><br>про wheezy 3.5.4+dfsg2-0+deb7u6 пишет vulnerable<br><br>LTS, backports - нет (пока?).<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#26 Thu, 30 Jun 2016 16:18:44 GMT &gt; слово "изголяться" в данном контексте обладает не совсем очевидным значением <br><br>Может, потому что подразумевалось "изгаляться"? <br>Правда тайные знания стремлений и чаяний "95% населения" уже, как бы, намекали &#8230;<br><br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#25 Thu, 30 Jun 2016 15:17:25 GMT Не путайте, openoffice != libreoffice<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#24 Thu, 30 Jun 2016 15:12:44 GMT слово "изголяться" в данном контексте обладает не совсем очевидным значением<br> https://www.opennet.dev/openforum/vsluhforumID3/108413.html#23 Thu, 30 Jun 2016 13:58:48 GMT И тем, кто использует кресты.<br>