OpenOffice doczekał się nowej wersji. Naprawia 15‑letni błąd
Pakiet biurowy OpenOffice wydano właśnie w wersji 4.1.10, naprawiającej błąd wprowadzony w marcu 2006 do wersji 2.0. Jest zaklasyfikowany jako możliwość zdalnego wykonania kodu, ale w praktyce jest odrobinę mniej spektakularny. Chodzi w nim o to, że umieszczony w dokumencie link prowadzący do złośliwego kodu pozwala wykonać kod bez pytania.
Można oczywiście skonkludować, że to żaden problem, bo nie wolno klikać w nieznane linki. Niemniej należy mieć na uwadze, że przeglądarki internetowe nigdy nie wykonują plików EXE do których prowadzą klikane linki, a pakiet Microsoft Office nie uruchamia domyślnie makr, jeżeli linkuje do nich inny dokument. Po linku nie zawsze widać, co serwuje. Stąd też konieczne jest ostrzeżenie, że link pobiera np. plik wykonywalny lub usiłuje uruchomić skrypt poza przeglądarką.
Bez ostrzeżenia
I istotnie, OpenOffice wyświetlał takie ostrzeżenie. Aczkolwiek w maju 2005 pewien użytkownik Windows 98 stwierdził w swoim zgłoszeniu na BugZillę że ostrzeżenia wyświetlają w bardzo niekonsekwentny sposób. Ignorują niektóre scenariusze internetowe, ale "krzyczą" gdy chodzi o otwieranie zawartości lokalnej. Komunikat uznano za mylący i... najwyraźniej usunięto go.
Błąd #49802 zlikwidował niejasność, a wprowadził scenariusz, w którym kliknięcie linków w dokumencie czyni je bezwarunkowo zaufanymi. Podatność otrzymała identyfikator CVE-2021-30245 i ramach jej naprawy po prostu przywrócono kod z 2005 roku, usunięty w OpenOffice.org 2.0. Przy okazji przetłumaczono kilkanaście niemieckich komentarzy w kodzie.
Długa historia...
Obecność niemieckich komentarzy, będąca wewnętrznym dowcipem w kręgach LO/OO, wynika z połączenia dwóch rzeczy. Pierwszą kwestią jest naturalnie pochodzenie pakietu. OpenOffice to po prostu ostatnie wcielenie pakietu StarOffice autorstwa niemieckiej firmy StarDivision. Drugi powód to znane zjawisko w inżynierii oprogramowania: łatwiej jest stworzyć produkt (nawet duży) niż potem go utrzymywać.
Napisanie gigantycznego pakietu biurowego od zera jest, pod wieloma względami, paradoksalnie łatwiejsze niż późniejsze poprawianie go i dokonywanie wewnętrznych "przemeblowań".
...z kiepskim morałem
OpenOffice to dziś jednak, mimo tej poprawki, projekt szukający uzasadnienia dla swojej obecności. Argumenty za jego istnieniem są podważalne, wydajność ekipy programistów czyni kolejne wydania bardzo oddalonymi w czasie, a większość deweloperskiego talentu znajduje się obecnie w projekcie LibreOffice.
Nie jest to wszelako projekt całkowicie wymarły - choć czasem można odnieść mylne wrażenie że pracuje w nim już tylko Matthias Seidel. Pozostaje jednak pytanie, czy nie zachodzi tutaj marnowanie brandu. OpenOffice był kiedyś dużą marką, a tymczasem jego ostatnie duże wydanie miało miejsce w 2014 roku.
Najnowsza wersja OpenOffice jest dostępna do pobrania, ale może lepiej rozważyć LibreOffice?