Journal Comparatif securite entre OOo et MS Office

Posté par  .
9
20
avr.
2011

http://www.cert.org/blogs/certcc/2011/04/office_shootout_microsoft_offi.html

Un chercheur en securite s'est amuse a passer plusieurs versions d'Office et OOo au travers d'un fuzzer de documents .doc afin de tester leur resilience aux fichiers malformes.

Resultat ? On va dire que les gens d'OpenOffice ne sont pas pret d'etre au chomage, il y a du boulot :

Crashs uniques

  • 59 pour Office 2007

  • 34 pour Office 2010 sans GateKeeper (validation de fichiers)

  • 17 pour Office 2010 avec GateKeeper

  • 163 pour OOo 3.2.1

  • 154 pour OOo 3.3.0 RC7

Exploitables et probablement exploitables

  • 2 pour Office 2007

  • 0 pour Office 2010

  • 18 pour OOo 3.2.1

  • 15 pour OOo 3.3.0 RC7

  • # Au royaume des aveugles les borgnes sont rois

    Posté par  (site web personnel) . Évalué à -5.

    De toutes façons lorsqu'il y a une faille dans MS Office il faut plusieurs années pour qu'elle soit réparée, de longues minutes pour appliquer le correctif et la plupart du temps un redémarrage de l'OS.
    Moi je ferai profil bas...

  • # qui ?

    Posté par  (Mastodon) . Évalué à 10.

    C'est pas n'importe qui "un chercheur en sécurité" C'est Dan Kaminsky Il manque cette info à ton journal, si je puis me permettre. Après on pourra regretter le manque de détails, mais les infos sur son blog sont tout aussi succintes :
    . pas de présentations des protocoles et conditions de tests
    . pas de papiers sur les outils utilisés
    . pas de code source.

    Mais quant on voit qui fait le test, on peut se dire, par défaut, qu'il ne s'agit pas de pipo.

    • [^] # Re: qui ?

      Posté par  . Évalué à 5.

      C'etait pas Kaminsky.

      Kaminsky, Eddington & Cechetti ont fait une etude similaire, avec resultats similaires, qu'ils ont presente a CanSecWest, mais le blog que je cites est une etude faite par l'auteur du post, pas Kaminsky.

      L'outil utilise est Peach (ecrit par Eddington).

      Le code source, tu vas certainement pas l'avoir avant que les failles aient ete corrigees, sinon ca serait un sacre merdier vu que les failles seraient vite decouvertes par tout un chacun.

      • [^] # Re: qui ?

        Posté par  . Évalué à 6.

        Pour etre 100% clair: le code source de Peach est dispo, les templates Peach utilises pour fuzzer les .doc par contre, eux restent bien au chaud en attendant que les failles aient ete corrigees.

        • [^] # Re: qui ?

          Posté par  (site web personnel) . Évalué à 10.

          Et on peut avoir le même test avec le format natif d'OpenOffice ?

          Parce que dire que le parseur d'OOo lit mal le .doc, format au combien documenté, on s'en doutait bizarrement...

          • [^] # Re: qui ?

            Posté par  . Évalué à 3.

            Précisément, DOC, XLS et PPT sont documentés depuis deux ans : http://www.microsoft.com/interop/docs/officebinaryformats.mspx

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: qui ?

            Posté par  . Évalué à 2.

            Non seuelement ces formats sont documentes, mais en plus cela n'a rien a voir avec la problematique. La doc aide a implementer un truc qui apparait correctement a l'ecran, mais t'as pas besoin de doc pour savoir qu'il faut pas dereferencer un pointeur invalide ou ecrire dans un buffer sans verifier sa taille.

  • # .doc ? Hmm ok

    Posté par  . Évalué à 10.

    En même temps faire ces tests sur le .doc, c'est un peu facile pour Microsoft de gagner…

    • [^] # Re: .doc ? Hmm ok

      Posté par  . Évalué à 9.

      Du tout. c'est pas un test de fidelite, c'est un test pour voir si ton code plante ou pas en recevant un fichier incorrect. Connaitre le format n'a aucune incidence, c'est connaitre son propre code et ne pas faire de betise dans les cas d'erreur qui importe ici.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 7.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: .doc ? Hmm ok

          Posté par  . Évalué à 0.

          Tu m'expliques le rapport ?

          • [^] # Re: .doc ? Hmm ok

            Posté par  . Évalué à 1.

            Je pense surtout que les développeurs d'OOo (LibreOffice maintenant) n'en ont pas grand chose à foutre du format binaire .doc et se concentrent bien plus sur les formats plus simples d'accès. J'ai pas de preuves, mais je doute fortement qu'ils étaient beaucoup à s'amuser à bidouiller là dedans.

    • [^] # Re: .doc ? Hmm ok

      Posté par  . Évalué à 5.

      Surtout que le doc est abandonné même par MS, si je ne dis pas de bêtises, au profit de leur nouveau format ouvert mais pas trop et (presque) standardisé sans qu'on ait trop besoin de graisser la patte de l'ISO.

      Et sur le docx, ça donne quoi ?

      Et sur l'ODF ?

      • [^] # Re: .doc ? Hmm ok

        Posté par  . Évalué à 4.

        .doc est toujours, et de loin, le format le plus utilise sur cette planete...

        DOCX et ODF sont une problematique totalement differente : ils sont bases sur XML, ce qui rend le parsing bcp moins perilleux qu'un format binaire.
        Faudrait tester la chose, mais j'imagines qu'on y trouvera bcp moins de failles que dans un parser pour un format binaire.

        • [^] # Re: .doc ? Hmm ok

          Posté par  (Mastodon) . Évalué à 8.

          n'y aurait il pas là une forme d'humour récursif ? Peut on conclure, avec tes éclairages sur la différence entre format binaire et type xml , qu'il ne faut utiliser que des documents dont le support à un code source lisible ?

          • [^] # Re: .doc ? Hmm ok

            Posté par  . Évalué à -2.

            Non ca n'a rien a voir, ca a voir avec le fait qu'il y a des parsers XML existants qui ont ete testes a fond, ce qui simplifie le travail.

            Je peux te creer un format binaire similaire a XML, il aura les memes avantages.

        • [^] # Re: .doc ? Hmm ok

          Posté par  (site web personnel) . Évalué à 1.

          Le plus utilisé, je doute. Peut être pour un certain usage de la bureautique, mais sinon (x)html et pdf doivent tenir de loin le haut du pavé non ?

          Sur le web, y a pas photo.

          Coté mél, pour les documents que le destinataire doit pouvoir éditer, je n'ai aucune idée. Mais sinon y a-t-il encore des gens pour envoyer (et exiger) autre chose que des pdf ? Des ppt de tante Michu, peut être, mais des doc ?

          • [^] # Re: .doc ? Hmm ok

            Posté par  (site web personnel) . Évalué à 3.

            Je reçois plus souvent des doc que des pdf, que des docx, que des autres…
            Je suis étudiant ingénieur en informatique. Mon école utilise des liens vers des pages ixachteumeuleu dans les mails, donc il reste… le reste.

            Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

            • [^] # Re: .doc ? Hmm ok

              Posté par  . Évalué à -1.

              les bogues ne me concernent sans doute pas, tous mes documents que j'utilise avec open/libreoffice sont au format ODF.

              À part fuder, je ne vois pas l'intérêt de ce test.

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

            • [^] # Re: .doc ? Hmm ok

              Posté par  (site web personnel) . Évalué à 2.

              Je suis sûr que tu reçois beaucoup plus de HTML que la somme de tous les autres types de fichiers. Plein de gens envoient leurs messages en HTML. Ça ne se voit pas parce que c'est un format plutôt bien standardisé et pris en charge.

              • [^] # Re: .doc ? Hmm ok

                Posté par  (site web personnel) . Évalué à 2.

                Je croyais que tous les mails étaient en html. Mais je parlais plutôt des pièces jointes, et mon école préfère ne pas en utiliser (quand un serveur n'accepte pas qu'un mail dépasse 2 Mo…), par contre dès que ce n'est pas l'école les pièces jointes apparaissent automatiquement pour tout ce qui est plus long que bonjour + 2 paragraphes + cordialement.

                Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

          • [^] # Re: .doc ? Hmm ok

            Posté par  . Évalué à -1.

            Je parles evidemment pour le domaine des suites offices, je te garantis que le format JPEG par exemple est largement plus repandu que .DOC, et dans ce domaine, html/pdf sont inexistants car ils ne repondent pas aux besoins.

            • [^] # Re: .doc ? Hmm ok

              Posté par  (site web personnel) . Évalué à 2. Dernière modification le 22 avril 2011 à 08:32.

              je te garantis que le format JPEG par exemple est largement plus répandu que .DOC

              La tu te trompes, les gens envoie leur image dans des .doc parce que c'est le seul format qui les rassure quand ils envoient un mail...

              Par contre, pour les stats, dans un milieu universitaire, j'ai :

              • 463 mails avec un .pdf
              • 160 mails avec un .doc

              Ce depuis Décembre 2009.

  • # Je pertinente…

    Posté par  (site web personnel) . Évalué à 4.

    … Parce qu'on a usé d'un script Python dans les tests !

    Faut bien que ce journal serve à quelque chose avec le relent de nationalisme qui traine en ce moment…

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # Libre Office

    Posté par  . Évalué à 2.

    Maintenant que OpenOffice semble mort, ne pourrait-on pas refaire le test avec LibreOffice ?

    ça me semblerait plus pertinent.

    • [^] # Re: Libre Office

      Posté par  . Évalué à 9.

      Ca n'y changerait pas grand-chose, le code est quasiment le meme

      • [^] # Re: Libre Office

        Posté par  . Évalué à -1.

        À l'époque, Go-oo était beaucoup plus moins buggé que OpenOffice… Je me dis que c'est peut-être la même chose pour LibreOffice…

        • [^] # Re: Libre Office

          Posté par  . Évalué à 5.

          C'est beaucoup plus moins vrai.

          • [^] # Re: Libre Office

            Posté par  . Évalué à 2.

            Pourtant Go-OO et LibreOffice ont fusionn (sur leur site) :

            Go-oo has been made obsolete by the exciting new LibreOffice project.

            « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

  • # Heuresement

    Posté par  . Évalué à 3.

    Que la plupart des contributeurs de LibreOffice ne sont pas salariés de la Document Fundation, ils pourront donc pas être mis au chômage quand tout cela ira mieux \o/

  • # Intéressant, mais ...

    Posté par  (site web personnel) . Évalué à 10.

    ... ça ne semble pas en adéquation avec la réalité. Quand un fichier doc est "corrompu" selon MS Office, nous (j'ai vu beaucoup de professionnels utiliser cette méthode) avons pris l'habitude d'ouvrir le fichier avec OpenOffice et de pouvoir le récupérer.
    Bien entendu ça n'enlève pas le fait que OOo ait plus de bugs, mais il me semble que MS Office abandonne très rapidement dans le cas de données invalides. Ça protège le système, oui, mais ça créer de la perte de données, car les fichiers doc finissent souvent corrompu (surtout quand ils sont volumineux, mais ça semble s'être améliorer avec MS Office 2007 (ou alors les utilisateurs ont pris l'habitude de tester avec OOo avant de nous appeler)).

    Dans tous les cas, il me semble que MS Office à pris l'option :

    if(corruptedFile) exit(-1);
    

    Et OOo :

    if(corruptedFile) tryHarder();
    

    L'autre point intéressant est de voir si Microsoft va corriger tous les bugs de Office XP puisque le support court jusqu'au 12 juillet 2011.

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: Intéressant, mais ...

      Posté par  . Évalué à 7.

      Ca me semble une réponse extrêmement pertinente en effet. En théorie, parser un fichier corrompu ne déclence pas nécessairement un plantage bien sûr, mais en pratique, ça veut dire qu'on utilise des portions de code expérimentales, qui ne sont normalement jamais utilisées, avec éventuellement des algorithmes un peu heuristiques pour récupérer le maximum de données dans le fichier. Forcément, ça a un impact sur la stabilité.

      Je ne connais pas grand chose dans les histoires d'import de fichiers binaires, mais j'ai du mal à trouver une justification à l'inclusion en dur d'un tel filtre d'importation dans OpenOffice. Comme ça, au pif, je dirais qu'il est beaucoup plus propre d'appeler un script externe qui convertir le .doc en .odt, puis d'ouvrir le document odt. Et à l'écriture on fait le contraire; ça permet comme ça de "nettoyer" le doc de tout un tas de trucs crades qui s'accumulent au cours du temps, et d'assurer la maitrise des données importées et exportées. C'est vrai que du même coup, on perd toutes les instructions qui ne sont pas comprises par Ooo, mais comment peut-on être certains qu'un fichier modifié qui contient encore ces instructions est lisible par Ms Word? Copier des trucs sans comprendre semble le meilleur moyen de corrompre un fichier.

    • [^] # Re: Intéressant, mais ...

      Posté par  . Évalué à -1.

      Ca peut certainement l'expliquer en partie au moins. Maintenant est-ce qu'OOo le fait sciemment ou c'est du simplement au fait qu'il ne verifie pas les valeurs lu, je sais pas, visiblement selon les resultats, ils font pas tres attention a ce qu'ils lisent...

    • [^] # Re: Intéressant, mais ...

      Posté par  . Évalué à 2.

      Euh, lorsque j'ai des .doc gigantesques générés par des scripts fous ou des .txt tordus que je veux ouvrir sous forme de feuille de calculs dans un tableur, MS se débrouille beaucoup mieux que OO dans ces cas. Effectivement, il s'agit de cas un peu différents qu'un .doc corrompu, mais quand même, ce journal ne m'étonne pas tant que ça.

      • [^] # Re: Intéressant, mais ...

        Posté par  (site web personnel) . Évalué à 2.

        Oui, mais là ca doit plus avoir de lien avec le parseur de libreoffice mais plutot avec le toolkit pourri sous optimisé de libreoffice...

        A quand un port de libreoffice vers Qt, je vous le demande les enfants!

  • # Fastoche !

    Posté par  . Évalué à 10.

    Il faut dire aussi que les versions précédentes de MS Office avaient un fuzzer intégré qui compromettait aléatoirement l'intégrité des documents sur lesquels on travaillait.

    BeOS le faisait il y a 20 ans !

  • # Bah alors ?

    Posté par  . Évalué à -2.

    Il est où le rapport avec l'extreme droite ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.