Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk

Een kwetsbaarheid in Apache OpenOffice maakt het uitvoeren van code op afstand mogelijk. Hoewel het lek gedicht wordt met een bèta-update, is er nog geen officiële patch uitgebracht voor het beveiligingslek door de maker van het office-pakket.

De kwetsbaarheid CVE-2021-33035 werd ontdekt door beveiligingsonderzoeker Eugene Lim. Op zijn Twitter-account laat hij zien hoe hij het beveiligingslek kan misbruiken. Via het lek kan malware op afstand worden geïnstalleerd op de computer van het slachtoffer. Het is niet bekend of het lek actief is misbruikt door kwaadwillenden, maar nu het lek openbaar is gemaakt, zijn gebruikers van Apache OpenOffice kwetsbaar.

In een blog heeft Lim beschreven hoe hij de kwetsbaarheid ontdekte. Daarin schrijft hij ook dat het lek sinds 5 mei bekend was bij Apache Open Office. Hij verbaast zich er over dat de bug zo lang onopgemerkt kon blijven in software die vrij beschikbaar is en door miljoenen mensen wordt gebruikt.

Tegenover The Register heeft een woordvoerder van Apache OpenOffice laten weten dat ze hopen dat ze de update 'nog binnen deze maand kunnen uitrollen'. Op dit moment is een versie waarin het beveiligingslek is gedicht wel beschikbaar als bèta, maar zoals OpenOffice op zijn website schrijft 'kan deze nog fouten bevatten'. Als later deze maand Apache OpenOffice 4.1.11 verschijnt, moet het lek officieel gedicht worden.

Door Robert Zomers

Redacteur

Feedback • 21-09-2021 18:3229

21-09-2021 • 18:32

29 Linkedin Whatsapp

Lees meer

Google brengt Chrome-update uit die actief misbruikt lek in V8-engine oplost
Google brengt Chrome-update uit die actief misbruikt lek in V8-engine oplost Nieuws van 14 december 2021
Ernstige kwetsbaarheid in Apache Log4j 2 kan duizenden organisaties treffen
Ernstige kwetsbaarheid in Apache Log4j 2 kan duizenden organisaties treffen Nieuws van 10 december 2021
Malware-as-a-service-botnet Emotet is opnieuw actief na tien maanden stilte
Malware-as-a-service-botnet Emotet is opnieuw actief na tien maanden stilte Nieuws van 22 november 2021
Microsoft komt met fix voor zerodaykwetsbaarheid in Microsoft Office via Mshtml
Microsoft komt met fix voor zerodaykwetsbaarheid in Microsoft Office via Mshtml Nieuws van 15 september 2021
Beveiligingsonderzoekers vinden opnieuw groot lek in Microsoft Azure
Beveiligingsonderzoekers vinden opnieuw groot lek in Microsoft Azure Nieuws van 15 september 2021
Google dicht tiende zerodaylek in Chrome in 2021
Google dicht tiende zerodaylek in Chrome in 2021 Nieuws van 14 september 2021
Apple roept gebruikers op besturingssystemen te updaten om nieuwe NSO-zeroday
Apple roept gebruikers op besturingssystemen te updaten om nieuwe NSO-zeroday Nieuws van 14 september 2021
QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen
QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen Nieuws van 10 september 2021
Titanfall 2 bevat kwetsbaarheid waarmee hackers game kunnen laten crashen
Titanfall 2 bevat kwetsbaarheid waarmee hackers game kunnen laten crashen Nieuws van 9 september 2021
Meer producten en artikelen
Networking en security OpenOffice.org

Reacties (29)

-Moderatie-faq
29
28
20
4
0
7
Wijzig sortering
sympa
21 september 2021 18:35
Hoe zit het met LibreOffice? Hebben die dit lek ook (of al gedicht)?
Wel zo relevant want dat is de 'actuele' variant.
bvdbos
@sympa21 september 2021 19:16
De commit die het probleem oplost in openoffice..

Op regel 831 zie ik die lengte-check niet staan in libreoffice...
tweaknico
@bvdbos22 september 2021 20:10
Klopt, zie regel 806, daar zit een length check op de rest van de buffer.
tweaknico
@sympa21 september 2021 19:01
LibreOffice is gesplitst toe Oracle niet wist wat het wilde, na een maand of wat in Limbo heeft een groot deel van de OpenOffice OS ontwikkelaars de Fork gemaakt en is verder gegaan met ontwikkelen.
(Dit speelde ~ een halfjaar tot een jaar na de overname van Sun door Oracle).

Als Reactie heeft Oracle eerste wat code uit OpenOffice gesloopt zodat ze geen ruzie met Microsoft c.s. zouden kunnen krijgen, daarna hebben ze de restanten cadeau gedaan aan de Apache Foundation die er eerst nog van alles uitgesloopt heeft (ook een jaar doorlooptijd) dat niet aan de Apache License kon voldoen en daarna is er opnieuw begonnen met "herbouw" vanuit de overblijfselen.

De meeste Voormalige Sun OpenOffice ontwikkelaars zitten bij het LibreOffice project.
Dat zorgt er ook voor dat daar meer tractie is.

LibreOffice / OpenOffice zijn appels en peren vergelijken.

That said.....:
Er zat een RCE in LibreOffice.
https://gbhackers.com/critical-vulnerability-libreoffice/
(CVE-2018-16858)
En later in het jaar:
CVE-2019-9848
En ook dit jaar een onverwachte mogelijk code uitvoering:
cve-2021-2563
Dus ook Libre Office heeft z'n issues, maar hebben geen weken/maanden nodig voor reparatie.
(copy paste error van 2e CVE correcties).

[Reactie gewijzigd door tweaknico op 22 september 2021 20:25]

beerse
@tweaknico21 september 2021 21:21
Bij de splitsing van OpenOffice en LibreOffice is ook in LibreOffice heel veel gesnoeid. Het zou mij niets verbazen als deze code in LibreOffice al tijden niet meer aanwezig is.
The-Omega
@sympa21 september 2021 19:24
Als ik de twit [1] van de beveiligingsonderzoeker moet geloven is LibreOffice niet kwetsbaar.

[1] - https://twitter.com/space...tatus/1439285047249420296
pepsiblik
@sympa21 september 2021 18:47
LibreOffice is al een vele jaren geleden gesplitst. Dus de kans is groot dat de code waar het over gaat, niet meer in LibreOffice zit of er nooit in heeft gezeten.
Frame164
@pepsiblik21 september 2021 18:56
Dat zou ik niet zo stellig zeggen. De code van Open Office is al behoorlijk oud (van voor de Libre Office fork) en meestal wordt alleen maar code toegevoegd en wordt er weinig verwijderd.
pepsiblik
@Frame16421 september 2021 20:00
Kijk even naar de reactie van @tweaknico . Dan zie je dat er weinig overeenkomsten meer zijn.
Wodanford
@pepsiblik22 september 2021 15:54
Hij heeft het over snoeien en herbouw. Maar er worden geen bronnen gegeven op basis waarvan je iets zinnigs kunt zeggen over de mate waarin de code overeenkomt of verschilt. Ja, er is een (groeiend?) verschil tussen AOO en LO, maar hoe groot? En belangrijker; zit de kwetsbaarheid juist in de code die nog wél overeenkomt?

Met termen als "een groot deel", "wat code", "van alles", "de overblijfselen" en "een RCE" waardoor het gokken is of het dezelfde kwetsbaarheid is, komen we niet zo ver.
brobro
21 september 2021 19:11
Ik vraag me af of er inderdaad miljoenen gebruikers zijn, zoals in het artikel wordt aangehaald. Ik heb de indruk dat LibreOffice veel populairder is. En zelfs daarvan vraag ik me af of ze miljoenen 'echte' gebruikers hebben. Ik bedoel, kans dat het geïnstalleerd is omdat het gratis is is al anders dan dagelijks of wekelijks uren nodig hebben.
TheVivaldi
@brobro21 september 2021 19:47
Ik denk dat er inderdaad miljoenen gebruikers zijn, maar het merendeel zal óf oude bedrijfsinstallaties betreffen die LO nog altijd niet hebben ontdekt óf thuisgebruikers die het ooit geïnstalleerd hebben en niet meer gebruiken of nog wel maar LO nog altijd niet hebben ontdekt.
telenut
@TheVivaldi22 september 2021 15:42
Inderdaad...
LibreOffice staat ook op al mijn pc's, maar ik gebruik het amper. Microsoft Office staat op de pc's van het werk, en dan moet je daar wel mee werken... en op de pc's thuis gaan die documenten ook doorgaans openen met Chrome.
Zelf documenten maken doen we met de Google Office. En waarom dan nog libreOffice? Voor die corrupt geraakte documenten van Microsoft Office toch nog te kunnen openen en herstellen dus.
demianmonteverd
21 september 2021 18:46
https://cve.mitre.org/cgi...e.cgi?name=CVE-2021-33035 momenteel nog niet gepubliceerd. Uitstekende vraag.
Jogai
21 september 2021 19:11
Hij verbaast zich er over dat de bug zo lang onopgemerkt kon blijven in software die vrij beschikbaar is en door miljoenen mensen wordt gebruikt.
De meeste mensen zijn hopelijk overgestapt op libreoffice. Het zou de apache foundation sieren als ze de boel zouden doorverwijzen tbv libreoffice.
Yzord
21 september 2021 19:57
Kan aan mij liggen hoor, maar wat laat hij nou echt zien op Twitter dan? Ik zie alleen maar een blurry movie.

Desalniettemin dient dit zsm opgepakt te worden
JWL92
21 september 2021 18:35
R is een reden dat mensen eerder libreoffice aanraden...
LibreOffice is updated much more frequently than Apache OpenOffice, which means you'll receive new features and bug fixes more quickly.
Sk313t0r
@JWL9221 september 2021 19:05
Nou, dan stap ik maar over!
sympa
@Sk313t0r21 september 2021 19:33
LibreOffice is inderdaad heel ver vooruit. Daar wordt aan gewerkt De Apache-versie staat stil.
Sk313t0r
@sympa21 september 2021 19:44
Nu werk ik over het algemeen niet heel veel met Office, maar de keren dat het wel zo is moeten uiteraard wel veilig zijn :*)
Qalo
@Sk313t0r22 september 2021 14:09
Heel verstandig. Ga je geen spijt van krijgen, want LibreOffice heeft veel meer functionaliteit dan Apache OpenOffice, die grotendeels nog steeds op oude, legacy code werkt. Bovendien is de uitwisselbaarheid met bijvoorbeeld MS Office ook vele malen beter dan OpenOffice. Kortom: LibreOffice is de veel modernere voortzetting op OpenOffice.

Ik zou zeggen: doen! :*)
tapkcir
21 september 2021 20:05
Heet zoiets niet aanzetten tot?
BliXem
22 september 2021 08:41
Probeer eens onlyoffice! Persoonlijk de beste van de drie.
Qalo
@BliXem22 september 2021 14:06
Dat is - wat je zelf al zegt - een persoonlijke mening. Ik spreek uit ervaring dat ONLYOFFICE (met hoofdletters geschreven gek genoeg!) niet de beste keus is. Net als al die andere alternatieve kantoorpakketten die roepen dat ze 100% compatibel zijn met het bestandsformaat van MS Office is dat een twijfelachtige claim. Een deel van de OOXML-container is binaire, niet inzichtelijke code, en die is dus nét zo onbereikbaar voor ONLYOFFICE als voor LibreOffice, Softmaker Office, WPS Office en noem maar op. Dus er zal altijd wel een deel van het bestandsformaat niet aansluiten op wat MS Office wegschrijft.

Maar ja, voor de rest zien die alternatieve kantoorpakketten er bijna hetzelfde uit als MS Office, dus dan is dat automatisch een graadmeter om zo'n pakket als "de beste" aan te merken. Toch? 8)7
BliXem
@Qalo22 september 2021 14:11
Dat maak jij er van. In mijn situatie doet onlyoffice zijn werk goed.
Qalo
@BliXem22 september 2021 14:36
Ik geloof je meteen. Ik wil alleen even aanstippen dat ONLYOFFICE niet per sé "het beste" hoeft te zijn in het algemeen, in het alternatieve kantoorpakketten segment. Persoonlijke voorkeuren en wensen spelen daarbij ook een rol. Maar ik heb al vaker gemerkt dat men iets als "beste" aanmerkt, alleen maar omdat het uiterlijk van de software die van "the real thing" benadert. En maar dat zegt nog weinig over of hetgeen het pakket genereert (documenten, spreadsheets, presentaties) ook 100% uitwisselbaar zijn met het kantoorpakket die we (helaas!) bijna allemaal bij de baas gebruiken. ;)
Qalo
22 september 2021 14:31
Daarin schrijft hij ook dat het lek sinds 5 mei bekend was bij Apache Open Office. Hij verbaast zich er over dat de bug zo lang onopgemerkt kon blijven in software die vrij beschikbaar is en..... KNIP
Mij verbaast het niets. De ontwikkeling van Apache OpenOffice (als daar nog over gesproken mag worden) is dermate traag, dat het meer lijkt alsof de software allang verlaten en afgeschreven is door de Apache Software Foundation. Volgens mij zijn er nog amper mensen op gezet, want het schiet allemaal niet echt op daar. Dit in tegenstelling tot LibreOffice, waar de software zéér actief ontwikkeld wordt, compleet met releaseschema's. Echt een wereld van verschil...

Enige dat Apache OpenOffice nog enigszins in de lucht houdt is de naamsbekendheid, en dat er daarom nog wel een relatief grote gebruikersschare is. Veel meer mensen hebben van OpenOffice gehoord, en veel minder van LibreOffice. Nu bekt de eerste naam veel lekkerder dan de tweede, dus begrijpelijk is het dus wel enigszins. Ik hoop ook dat LibreOffice ooit weer de naam "OpenOffice" terugkrijgt. :)

Ik was trouwens verrast dat Brugman Keukens 4 jaar geleden nog een legacy versie van OpenOffice gebruikte toen ik daar een keuken aanschafte. Geen idee of dat nog steeds zo is, maar ik vond het sowieso gek dat ze OpenOffice gebruikte in plaats van LibreOffice. Toen ik de verkoper in kwestie vroeg of hij LibreOffice kende was zijn antwoord ontkennend. LibreOffice zal wat meer moeten doen om ook bij het grote publiek wat meer naamsbekendheid te krijgen.
witstert
23 september 2021 01:33
Digressing slightly. Can anybody using OpenOffice Calc try something out for me.
I have a spreadsheet calculating the interest earned on a bank account paying 3% on daily balance. Initial Capital is 50 deposited on 18/1/2021 and interest is capitalised on 1st working day of each month. Each month another 50 is added to the capital. Usually on the 18th monthly. Interest calculations have to take account of the capitalised balance changing on the 1st working day and 18th of the month. First interest credited on 1/2/21 is 0.06 for the 14days from 18 to 31 January 2021. The interest credited on 1/3/21 is 0.23 and following interests are (usually) 0.16 more than the previous. However, I have predicted the interest amounts and found at certain months the interest increase compared to that of the previous month are considerably less. For instance, the first time this "anomaly" appears the interest credited is 0.12 less. I have used 2 spreadsheet types for comparison, of which, one is OpenOffice Calc. The computations result in differences between the 2 spreadsheet types. The formulas I have used are similar. I do not usually bother with this type of problem because generally interest is credited at maturity, but with this investment being credited monthly the "anomaly" came to my attention. Hence my plea to Tweakers contributors for their indulgence. I am not being "deliberately" obscure. I do need advice resulting from others creating spreadsheets to see if they can replicate the results I get without me giving "chapter and verse" of my formulas.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee