The Document Foundation gibt Sicherheitspatches für LibreOffice bekannt

Schreibe eine Antwort

The Document Foundation (TDF) weist auf Sicherheitspatches hin, die mit LibreOffice 3.4.3 und 3.3.4 veröffentlicht wurden und die Qualität und Sicherheit der freien Office-Suite maßgeblich verbessern.

Huzaifa Sidhpurwala, der als Sicherheitsexperte bei RedHat tätig ist, entdeckte eine Schwachstelle in der Speicherverwaltung des Codes, der für das Laden von Microsoft Word-Dokumenten in LibreOffice verantwortlich ist. Dieser Fehler könnte möglicherweise für bösartige Zwecke wie z.B. das Installieren von Viren durch eine speziell präparierte Datei missbraucht werden. Die entsprechende Beschreibung dieser Sicherheitslücke ist CVE-2011-2713, „Out-of-bounds property read in binary .doc filter“.

LibreOffice 3.4.3 enthält außerdem verschiedene Sicherheitsverbesserungen beim Laden von Bildern in den Formaten Windows Metafile (.wmf) und Windows Enhanced Metafile (.emf), die im Rahmen von Routinetests gefunden wurden.

Die LibreOffice-Entwickler haben zudem einige weitere Sicherheitslücken behoben. Dies geschah im Rahmen der allgemeinen Verbesserungen bei der Programmentwicklung, welche die allgemeine Qualität und Stabilität der Software widerspiegeln. Die meisten der Sicherheitspatches in LibreOffice 3.4.3 wurden von Caolan McNamara von RedHat und Marc-André Laverdière von Tata Consultancy Services entwickelt.

„Die Arbeit an der weiteren Verbesserung der LibreOffice-Importfilter war eine tolle Erfahrung, und ich bin stolz darauf, dass ich zur Steigerung der Sicherheit bei Millionen von Benutzern beitragen konnte“, sagte Marc-André Laverdière, Wissenschaftler der TCS Innovation Labs von Tata Consultancy Services, Ltd. „In enger Zusammenarbeit mit den TDF-Entwicklern konnten wir einige ernsthafte Sicherheitslücken und Abstürze finden und beseitigen.“

Allen Anwendern wird empfohlen, so schnell wie möglich auf LibreOffice 3.4.3 zu aktualisieren, um von der verbesserten Sicherheit der Office-Suite zu profitieren. Die aktuelle Version der 3.3er-Serie, 3.3.4, enthält die entsprechenden Sicherheitspatches ebenfalls.

LibreOffice kann hier heruntergeladen werden.

Diese Informationen stammen aus einer Mail von Florian Effenberger.

Freundliche Grüße
das OSS-Haus Team

Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste

Schreibe eine Antwort

Die anhaltenden Störungen bei Kernel.org als angestammtem Download-Refugium für den Linux-Kernel lassen Maintainer Greg Kroah-Hartman neue Wege gehen.

Kroah-Hartman veröffentlicht das fällige Update schlicht als Patch. Wie er auf der Mailingliste schreibt kann es der Nutzer auf die Quelltext von Kernel 3.0.0 anwenden, ohne sich um die seit Erscheinen der 3.0 erschienenen drei vorangegangenen Patches kümmern zu müssen.

Der Kernel-Hacker hat sich für diese Methode entschieden, weil er immer mehr Anfragen bekomme, wie es denn nun weitergehe mit den Kernel-Updates. Fragen zum Vorgehen und zur Sicherheit des schlicht über die Mailingliste erhaltenen Codes nimmt Kroah-Hartman entgegen.

Den originalen Artikel mit Link von Ulrich Bantle, findet ihr unter Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

MySQL.com verbreitet Windows-Malware

Schreibe eine Antwort

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

„Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.“

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.“ Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. „Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt“, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.

Den originalen Artikel mit allen Links und einem Video von Armorize in Englisch von Martin Schindler, findet ihr unter MySQL.com verbreitet Windows-Malware von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Firefox 7 optimiert Speichernutzung

Schreibe eine Antwort

Mozilla hat Firefox 7 für die verschiedenen Plattformen veröffentlicht und gleichzeitig neue Entwicklerwerkzeuge.

Geschwindigkeit ist das Schlagwort, unter dem Mozilla den neuen Firefox 7 vermarktet. Der Browser selbst soll durch schnelleres Öffnen von Tabs und beim Klick auf Menüpunkte schneller reagieren. Die Entwickler haben sich dafür die Speichernutzung der Software vorgeknöpft und dort Verbesserungen eingebracht.

Bei der Nutzung der Funktion Sync zum Synchronisieren von Bookmarks und Passwörtern in verschiedenen Firefox-Instanzen soll der Abgleich nun fast nahtlos erfolgen. Das Websocket-Protokoll ist im Firefox nun von Version 7 auf Version 8 geklettert.

Ein Update hat auch die Engine der Hardware-beschleunigten HTML-Erweiterung Canvas erfahren, was HTML-5-Animationen und Spielen unter Windows helfen soll. Entwickler von Webseiten sollen davon ebenfalls profitieren. Unterstützung für das API W3C Navigation Timing Spec im Firefox dient Entwicklern zudem zur Messung diverser Faktoren beim Laden von Websites.

Mozilla hat außerdem mit Telemetry einen neuen Dienst eingerichtet, über den geneigte Nutzer Informationen zur Browser-Leistung an die Entwickler schicken können. Dies geschehe anonym und gemäß den Mozilla-Privacy-Prinzipien, heißt es. Die Release Notes zählen weitere Neuerungen auf. Es liegt auch eine komplette Liste der Änderungen und Bugfixes vor.

Den originalen Artikel mit allen Links von Ulrich Bantle, findet ihr unter Firefox 7 optimiert Speichernutzung von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Die Document Foundation feiert ihren ersten Geburtstag

Schreibe eine Antwort

LibreOffice mit IDG InfoWorld BOSSIE Awards 2011 und OWF Experiment Awards 2011 als beste Open-Source-Software ausgezeichnet.

28. September 2011 – Die Document Foundation (TDF) feiert heute, genau ein Jahr nach Gründung des Projekts und der Veröffentlichung der ersten LibreOffice-Betaversion, ihren ersten Geburtstag. „Was wir in gerade mal zwölf Monaten erreicht haben, ist einfach bemerkenswert,“ sagt Charles Schulz, Mitglied des Steering Committees. „Die Foundation zählt mittlerweile 136 registrierte Mitglieder. Zum Projekt tragen sogar mehr als 270 Entwickler sowie genauso viele Übersetzer regelmäßig bei – und täglich werden es mehr. Über 15.000 Abonnenten diskutieren auf unseren mehr als 100 internationalen Mailinglisten, und gut die Hälfte von ihnen verfolgt unsere Announce-Mailingliste. Zudem gab es weltweit tausende von Presseberichten.“

LibreOffice ist das Ergebnis der vereinten Aktivität von 330 Entwicklern – einschließlich der ehemaligen OpenOffice.org-Enwickler –, die gemeinsam mehr als 25.000 Commits beigetragen haben. Die Entwicklergemeinschaft ist dabei ausgewogen und besteht aus Mitarbeitern der beitragenden Unternehmen sowie aus Ehrenamtlichen der Community: Von SUSE-Mitarbeitern und ehrenamtlichen Projektmitgliedern stammen jeweils ca. 25% der Commits, weitere 20% kommen von RedHat und weitere 20% entstammen der OpenOffice.org-Codebasis. Weitere Beiträge stammen von Canonical, Bobiciel, CodeThink, Lanedo, SIL, Tata Consultancy Services und zahlreichen anderen.

Das Ergebnis dieser Arbeit ist bereits deutlich sichtbar. LibreOffice bietet aus der Reihe der Erben der früheren StarOffice-Codebasis dem Anwender am meisten – es ist schneller, stabiler und hat deutlich mehr Funktionen als alle seine Vorgänger. InfoWorld attestiert, dass die neuesten Funktionen zeigen, wie viel mehr Aufmerksamkeit auf Performance-Verbesserung und Entwicklung als Business-Tool gelegt wurde, anstatt sich auf pure Oberflächlichkeiten und Effekthaschereien zu konzentrieren.

„Dank einer sehr einladenden und offenen Einstellung neuen Projektmitgliedern gegenüber, der Copyleft-Lizenz und der Tatsache, dass es keines Copyright-Assignments bedarf, hat die Document Foundation schon jetzt mehr Entwickler für sich begeistern können, als das OpenOffice.org-Projekt in einem gesamten Jahrzehnt“, so Norbert Thiebaud, ein Entwickler der ersten Stunde, der bereits am 28. September 2010 auf den LibreOffice-Zug aufgesprungen und nun ein Mitglied des Engineering Steering Committee der TDF ist.

Die Downloads seit dem 25. Januar 2011, dem Tag der Veröffentlichung der ersten stabilen Version, haben gerade die Marke von 6 Millionen überschritten und werden von 81 Mirror-Servern auf der ganzen Welt angeboten. Zählt man externe Downloadquellen wie Softpedia hinzu, sind es sogar 7,5 Millionen Downloads. Zudem gibt es unzählige Benutzer, die LibreOffice von CD installieren oder es als Zeitschriftenbeilage erhalten. Die Document Foundation schätzt, dass es weltweit 10 Millionen Benutzer gibt, die LibreOffice als Download oder per CD installiert haben, wovon 90% Windows und weitere 5% Mac OS X benutzen.

Linux-Benutzer bekommen im Gegensatz dazu LibreOffice in der Regel direkt aus dem Repository ihrer Distribution. Basierend auf den IDC-Berechnungen neuer oder aktualisierter Linux-Installationen in 2011, geht die TDF von insgesamt 15 Millionen Anwendern auf dieser Plattform aus, da LibreOffice die bevorzugte Office-Suite aller Distributionen ist.

Insgesamt geht die TDF also von ungefähr 25 Millionen LibreOffice-Benutzern weltweit aus, was den Erwartungen von 200 Millionen Anwendern bis zum Ende dieses Jahrzehnts voll und ganz entspricht.

„Als sich die OpenOffice.org-Community zum Schritt in ein unabhängiges, Community-gesteuertes Projekt entschloss, war ich begeistert. Die beste Art, den Erfolg zu gewährleisten, war selbst aktiv mitzuwirken und gleich vom ersten Tag an wollte ich ein Teil des Teams sein. Ich arbeite an der Dokumentation und der Webseite, betreibe eine Alfresco-Plattform für das Projekt, und engagiere mich im Marketing. LibreOffice ist wahrhaftig ein lebendes, vitales und aktives Projekt, und wir alle sind Teil dieser Erfolgsgeschichte“, sagt David Nelson, ein weiterer Ehrenamtlicher der ersten Stunde, der aufgrund seiner Beiträge als Mitglied der TDF aufgenommen wurde.

Die Community wird sich vom 12. bis 15. Oktober 2011 in Paris zur ersten LibreOffice-Conference versammeln. Interessierte sollten sich hier registrieren.

LibreOffice kann von LibreOffice.org heruntergeladen werden.

EIN HINWEIS FÜR JOURNALISTEN: Würde die TDF dieselbe Zählweise zugrunde legen wie das OpenOffice.org-Projekt, läge die Zahl der Downloads bei mehr als 22 Millionen.

*** Medienkontakte

Florian Effenberger (nähe München, Deutschland, UTC+1)
Telefon: +49 8341 99660880 – Mobil: +49 151 14424108
E-mail: floeff@documentfoundation.org – Skype: floeff

Olivier Hallot (Rio de Janeiro, Brazilien, UTC-3)
Mobil: +55 21 88228812 – E-mail: olivier.hallot@documentfoundation.org

Charles H. Schulz (Paris, Frankreich, UTC+1)
Mobil: +33 6 98655424 – E-mail: charles.schulz@documentfoundation.org

Italo Vignoli (Mailand, Italien, UTC+1)
SIP-Telefon: +39 02 320621813 – Mobil: +39 348 5653829
E-mail: italo.vignoli@documentfoundation.org – Skype: italovignoli
GTalk: italo.vignoli@gmail.com

Diese Informationen stammen aus einer Mail von Florian Effenberger, Document Foundation.

Freundliche Grüße
das OSS-Haus Team