image

Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden

zaterdag 10 februari 2018, 09:39 door Redactie, 35 reacties
Laatst bijgewerkt: 10-02-2018, 11:24

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang tot lokale bestanden van de gebruiker geven, zo waarschuwen de ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk om via een url data in een document te laden, bijvoorbeeld van een programmeerinterface (api).

Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen. Andere formules in het document kunnen van die geïnjecteerde data gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren zou een aanvaller het slachtoffer wel eerst een kwaadaardig document moeten laten openen.

"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn kwetsbaar.

Reacties (35)
10-02-2018, 17:05 door Anoniem
Zet Office software niet in de whitelist van je firewall.
Kijk maar eens wat er gebeurt op connectie gebied als je een pagina tekst kopieert alles selecteren en kopiëren) van een krantensite (telegraaf of zo) en dat in een office of rtf bestand plakt, rrrrrrr daar ratelt de connectiemachine al.

Met het decennialange eindeloze geouwehoer met het embedden van allerhande str*nt (vergeet flash niet) is het beter standaard tekst en office (en pdf!) software de toegang tot het web te verbieden.
Maak je een uitzondering voor een periodiek geplande update.

Libre Office is niet vaak aan de beurt maar dit lijkt een voltreffer, al ben ik benieuwd naar een daadwerkelijke uitgeschreven misbruik uitwerking.

Hopelijk realiseren de bij The Document Foundation dat het leugenachtige adagium van even updaten naar de laatste versie onzin is, en zeker geen oplossing voor LibreOffice.
Omdat een groot deel van de wereld werkt met oude machines en oudere software en al onder de huidige releaseversies zijn blijven steken.

Als capaciteit een voorstelbare reden is dan zou er iets bedacht moeten worden hoe je dit kan uitschakelen.
Maar nogmaals, blokkeren door niet te white listen of te blacklisten lijkt de meest eenvoudige methode, dan ben je het mogelijke volgende lek op die manier in ieder geval voor.
10-02-2018, 17:41 door ph-cofi
Zo te zien is het niet eens een macro-kwestie, gewoon een lekke functie. Te misbruiken in alle versies behalve twee.
10-02-2018, 18:44 door CykoByte_t - Bijgewerkt: 10-02-2018, 19:13
Door Anoniem:
Libre Office is niet vaak aan de beurt maar dit lijkt een voltreffer, al ben ik benieuwd naar een daadwerkelijke uitgeschreven misbruik uitwerking.

Daarbij komt helaas ook nog dat LibreOffice (en OpenOffice) een behoorlijk brakke update-routine hebben. Controleert standaard slechts om de week, downloadt niet automatisch de updates en geeft ten onrechte aan van de laatste versie te zijn. "Libreoffice 6.0 is up-to-date." Toch maar even handmatig een update doen dan.

Het wordt hoog tijd dat ook Libreoffice ondersteuning krijgt voor een beter updatemechanisme, zoals we dat al in vele browsers zien.
10-02-2018, 19:00 door Anoniem
Extra grappig is dat de exploit er is vanwege het implementeren van een functie voor compatibiliteit met MS Excel: COM.MICROSOFT.WEBSERVICE.

Proof-of-concept exploit:
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure
10-02-2018, 19:16 door karma4
Door Anoniem: Extra grappig is dat de exploit er is vanwege het implementeren van een functie voor compatibiliteit met MS Excel: COM.MICROSOFT.WEBSERVICE.

Proof-of-concept exploit:
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure
Het gaat niet om de compatibiliteit met Excel, deze functie gaat niet zo 1-1 over.
Het gaat er hier om dat gegevens uit meerdere bronnen door de gebruiker verwerkt moet kunnen worden. Calc 123a etc begonnen met die vraag buiten de ICT omgeving op te lossen. Die functionele vraag blijft de kern van de zaak.
Kun je zeggen zonder gebruikers is mijn systeem veilig. Het gaat er echter om dat de informatie met gebruikers veilig blijft.
10-02-2018, 19:17 door Anoniem
Door CykoByte_t:
Door Anoniem:
Libre Office is niet vaak aan de beurt maar dit lijkt een voltreffer, al ben ik benieuwd naar een daadwerkelijke uitgeschreven misbruik uitwerking.

Daarbij komt helaas ook nog dat LibreOffice (en OpenOffice) een behoorlijk brakke update-routine hebben. Controleert standaard slechts om de week

Grapjas, LibreOffice heeft elke maand een patch ronde waar ms dat misschien 1 keer per jaar heeft? 2x?
Dan loopt zij met de wekelijkse check mijlenver op ms voor.
Daarnaast willen veel mensen handmatig de update uitvoeren en niet automatisch, los nog van het feit of wat je beweert ook waar is (laten we het maar niet over andere 'vrije software hebben' ).
10-02-2018, 20:15 door Anoniem
Door Anoniem: Zet Office software niet in de whitelist van je firewall.
Klinkt leuk, maar de meeste gebruikers hebben nu werkelijk geen idee waar je het over hebt.
En, best leuk als je bestanden opslaat in de cloud.

Kijk maar eens wat er gebeurt op connectie gebied als je een pagina tekst kopieert alles selecteren en kopiëren) van een krantensite (telegraaf of zo) en dat in een office of rtf bestand plakt, rrrrrrr daar ratelt de connectiemachine al.
Daarnaast, is het ook helemaal logisch? Immers het zijn links dan, dus ja dan maakt die inderdaad verbinding richting het Internet....
10-02-2018, 20:50 door Anoniem
En Open Office? Ook kwetsbaar?
10-02-2018, 21:22 door Anoniem
Door Anoniem:
Door Anoniem: Zet Office software niet in de whitelist van je firewall.
Klinkt leuk, maar de meeste gebruikers hebben nu werkelijk geen idee waar je het over hebt.
Dit soort terminilogie komt wel vaker voor, al jaren, bij algemene security adviezen, de bank bijvoorbeeld.

En, best leuk als je bestanden opslaat in de cloud.
vinniknie, pliesies weer wel

Kijk maar eens wat er gebeurt op connectie gebied als je een pagina tekst kopieert alles selecteren en kopiëren) van een krantensite (telegraaf of zo) en dat in een office of rtf bestand plakt, rrrrrrr daar ratelt de connectiemachine al.
Daarnaast, is het ook helemaal logisch? Immers het zijn links dan, dus ja dan maakt die inderdaad verbinding richting het Internet....[/quote]Nee, links zorgen niet voor contact met internet embedden content die van andere domeinen gehaald moet worden wel, webbug princiepe.
10-02-2018, 22:10 door CykoByte_t - Bijgewerkt: 10-02-2018, 22:16
Door Anoniem:
Grapjas, LibreOffice heeft elke maand een patch ronde waar ms dat misschien 1 keer per jaar heeft? 2x?
Dan loopt zij met de wekelijkse check mijlenver op ms voor.
Daarnaast willen veel mensen handmatig de update uitvoeren en niet automatisch, los nog van het feit of wat je beweert ook waar is (laten we het maar niet over andere 'vrije software hebben' ).
Ik maak geen grappen. Een melding over een update hoort binnen te komen, zodra die update uitkomt. Helemaal als het een dergelijk lek betreft. Een wekelijkse controle levert een situatie op waar de update uiterlijk 1 week na uitkomen pas gemeld/gedownload wordt. Om even jouw voorbeeld over Microsoft aan te houden: Windows controleert meerdere malen per dag of er updates zijn.

Daarnaast heeft Microsoft gewoon de maandelijkse "Patch Tuesday" die door henzelf geformalizeerd is; zie https://technet.microsoft.com/en-us/security/dn436305 kopje Releasing Security Updates and Advisories:
Microsoft releases security updates on the second Tuesday at 10AM (US Pacific Standard Time) of every month. The monthly release cycle provides a predictable schedule that helps customers plan for deployment of security updates.
Voor ernstige lekken brengen ze vaak buiten die patchcycli nog updates uit.

Jammer dat je mijn reactie onderuit probeert te schoppen, door te doen vermoeden dat wat ik zeg niet waar is. Dit terwijl je zelf uitingen doet die:
a) Niet vergezeld gaan van onderbouwing
b) Aantoonbaar niet kloppen

Bewijsvoering van mijn bewering kan ik zelf niet meer doen, nu ik de update al uitgevoerd heb. Het lijkt echter dat ik niet de enige ben. https://tweakers.net/downloads/43455/libreoffice-601.html?showReaction=11163517#r_11163517.
10-02-2018, 22:29 door Tha Cleaner - Bijgewerkt: 10-02-2018, 22:31
Door Anoniem:
Grapjas, LibreOffice heeft elke maand een patch ronde waar ms dat misschien 1 keer per jaar heeft? 2x?
Dan loopt zij met de wekelijkse check mijlenver op ms voor.
Windows update wordt iedere dag gecontroleerd voor updates, en niet iedere week zoals LO. Dat MS standaard de security updates maar 1 keer per maand doet is iets anders. Daar is juist over nagedacht. Maar flash en defender welke ook via Windows Update gedistribueerd. En daarvoor komen veel vaker updates voor uit.
LO loopt dus flink achter op de update techniek.

Daarnaast willen veel mensen handmatig de update uitvoeren en niet automatisch
De meeste vinden dit helemaal niet interessant. Sommige natuurlijk wel, maar die weten waarover ze praten en maken deze keuze dus bewust.

En LO heeft volgens mij geen automatische updater, alleen een melding? En de meeste gebruikers negeren juist dit soort update melding.

Dus nee LO loopt flink achter, mijen achter zelfs.
10-02-2018, 23:17 door Anoniem
Windows controleert meerdere malen per dag of er updates zijn.
Ja, of er nog nieuwe gebruikerstelemetriedata te halen zijn zeker.

Maar dat was de helft van het antwoord: de kern van de zaak is (en dat moet je hier kennelijk uitspellen ander snapt men het niet) : ook al checkt windows elke seconde op updates, het doet er niet toe als je vrijwel geen updates uitbrengt voor je msoffice

LibreOffice heeft elke maand een update ronde en ms office heeft dat niet, bij lange na niet.
MS staat dus ongeveer stil terwijl LibreOffice voortdurend bezig is het product beter te maken en te innoveren.
Bovendien betaal je je voor die stilstand blauw.
LibreOffice is gratis.

Maar inderdaad, het moet niet zo zijn dat LibreOffice gebruikers MS achterna gaan : gratis data weggeven.
En daarom wordt het ook weer in een mum van tijd gepatcht.
11-02-2018, 10:44 door CykoByte_t - Bijgewerkt: 11-02-2018, 10:45
Door Anoniem:
Windows controleert meerdere malen per dag of er updates zijn.
Ja, of er nog nieuwe gebruikerstelemetriedata te halen zijn zeker.

Maar dat was de helft van het antwoord: de kern van de zaak is (en dat moet je hier kennelijk uitspellen ander snapt men het niet) : ook al checkt windows elke seconde op updates, het doet er niet toe als je vrijwel geen updates uitbrengt voor je msoffice

LibreOffice heeft elke maand een update ronde en ms office heeft dat niet, bij lange na niet.
MS staat dus ongeveer stil terwijl LibreOffice voortdurend bezig is het product beter te maken en te innoveren.
Bovendien betaal je je voor die stilstand blauw.
LibreOffice is gratis.

Maar inderdaad, het moet niet zo zijn dat LibreOffice gebruikers MS achterna gaan : gratis data weggeven.
En daarom wordt het ook weer in een mum van tijd gepatcht.
Jammer dat je de bewijsvoering die jouw beweringen onderuit haalt, negeert. Daarbij wendt je het gesprek af van de daadwerkelijke kern van het verhaal. Maar goed, dat zou je reclame voor LO niet ten goede komen natuurlijk.

Ik weet niet waarom je zo koppig anti-Microsoft propaganda loopt te verkondigen met statements die aantoonbaar onjuist zijn, of ten hoogste ongefundeerde stemmingmakerij en aannames zijn.

Prima dat je LO mooi vindt en Microsoft Office niet, maar een discussie voeren op zo'n selectieve wijze geeft alleen maar aan dat je standpunt fragiel is. En dat is jammer, want je wekt de verkeerde indruk over beide Microsoft Office én LibreOffice aanhangers. Toevallig ben ik één van de laatste, dus je hoeft LO niet eens tegenover mij te verdedigen. Maar als je ergens om geeft, zou je ook in een gezonde mate kritiek daarop moeten kunnen tolereren.

Kritiek is nu eenmaal het beginpunt van de weg naar verbetering, en het lijkt mij dat verbetering alleen maar goed is. LibreOffice heeft een zwak updatemechanisme, dat is gewoon zo. Naast de ingestelde controletijd (dat verder niet zo'n punt is) negeer je het feit dat ten onrechte wordt aangegeven dat er geen updates zijn, en dat updates niet automatisch worden geïnstalleerd. Iets wat Tha Cleaner hierboven ook al goed aankaart.

Begrijp me dus niet verkeerd. Ik ben voor open, gratis software. Ik vind LibreOffice een prachtig pakket. Het zou het pakket echter nog mooier maken als het updatemechanisme werd gemoderniseerd. En dat zou je het toch moeten gunnen.
11-02-2018, 12:51 door Anoniem
Het zou ook schelen als het download programma op de juiste manier zou worden gesigneerd,
zodat Voodooshield geen alert geeft bij downloaden en uitpakken.

Nu moet ik voor downloaden etc. apart toestemming geven in Voodooshield.

Onbegrijpelijk terwijl het programma zelf een authentihash bevat en een gesigneerde file is met een geldige signatuur.

Zie hier dat alles echt bij mij in orde is: https://www.virustotal.com/#/file/1dda5d2c1706acdfbe395bd90b665884d322b110ba626b500f59c2aa50708f6f/details

Ik check alles eerst vooraf en ga nooit in een mandje zitten melken. Overigens best tevreden met LibreOffice.

Ook geen studentenkorting nodig voor het MS Office pakket na inloggen op eduroam bij voorbeeld.

Lekker open source en transparant en je kunt zelf aan de ontwikkeling en debugging meedoen, als je dat al wil.
Je staat niet zoals bij MS als product aan de kant.

Fijne zondag, lieve mensen,

Jodocus Oyevaer
11-02-2018, 13:27 door Anoniem
De boosdoener is blijkbaar: LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
Hoe kan ik dit en al die ander Microsoft compatibility uitzetten?

Het legt ook het beroerde MS update mechanisme weer eens bloot. Omdat dat alleen met Microft software (en flash-plugin) werkt, wordt er verwacht dat die 3party applicaties gaan schreeuwen dat ze ge-update moeten worden.
Onder Linux (Mac weet ik niet) wordt er standaard elk uur (cron-job) gekeken of er updates beschikbaar zijn en eventueel geinstalleerd.
11-02-2018, 13:53 door Anoniem
Gelukkig kwam er vandaag(11-02-'18)op mijn Linux systeem(Debian)alweer een nieuwe update voor LibreOffice binnen.
11-02-2018, 14:20 door CykoByte_t - Bijgewerkt: 11-02-2018, 14:30
Door Anoniem: De boosdoener is blijkbaar: LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
Hoe kan ik dit en al die ander Microsoft compatibility uitzetten?

Het legt ook het beroerde MS update mechanisme weer eens bloot. Omdat dat alleen met Microft software (en flash-plugin) werkt, wordt er verwacht dat die 3party applicaties gaan schreeuwen dat ze ge-update moeten worden.
Onder Linux (Mac weet ik niet) wordt er standaard elk uur (cron-job) gekeken of er updates beschikbaar zijn en eventueel geinstalleerd.
Inderdaad; het model waarin elke softwareleverancier zelf zijn updatemechanisme moet verzorgen, is verouderd. Helaas dus in dit geval met gevolg voor gebruikers van LO dat zij, door combinatie van factoren, met een lekke versie blijven zitten als zij niet actief op updates controleren. Microsoft wilt met de Windows Store en UWP Apps onder andere dit probleem oplossen. Dat wil echter niet echt van de grond, volgens mij.

Ik werk zelf met beide systemen, Linux (Zorin OS en Ubuntu Budgie) en Windows; het beheren van software-updates op Linux is echt heerlijk t.o.v. Windows.

Voor je vraag over uitschakelen van Microsoft compatibility heeft wellicht iemand anders een antwoord.
11-02-2018, 17:24 door karma4
Door Anoniem: De boosdoener is blijkbaar: LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
Hoe kan ik dit en al die ander Microsoft compatibility uitzetten?

Het legt ook het beroerde MS update mechanisme weer eens bloot. Omdat dat alleen met Microft software (en flash-plugin) werkt, wordt er verwacht dat die 3party applicaties gaan schreeuwen dat ze ge-update moeten worden.
Onder Linux (Mac weet ik niet) wordt er standaard elk uur (cron-job) gekeken of er updates beschikbaar zijn en eventueel geinstalleerd.
Jij belazerd jezelf flink, Daar hoeven anderen geen last van te hebben.
11-02-2018, 17:42 door Anoniem
Het grootste lek ben je zelf

voor wie het aangaat

Zoals met vrijwel elke serieus te nemen app kan je ook in Libre office je updates managen.
Maar dan moet je wel de moeite nemen om je voorkeuren door te nemen voordat je een programma gaat gebruiken.
Kennelijk doen sommige kriticasters dat niet en dat geeft te denken als het gaat om security.

LibreOffice voorkeuren (sinds jaar en dag)

Voorkeuren > Online update > "Online Update Options"

Direct daaronder : een vinkvakje waarvan ik niet weet hoe ze staat bij standaard inatallatie maar ik denk zelfs aangevinkt, " Check for updates automatically"

Daaronder kan je kiezen of je dat elke dag wil of elke week of elke maand.

Daaronder staat netjes een datum vermeld wanneer er voor het laatst een check is gedaan en daaronder zit een buttongetiteld "Check Now".

Zo jammer dat allerhande mensen een grote mening hebben zonder even kennis te nemen van de app zelf.
Zo jammer dat de meerderheid van de gebruikers de routine niet kent van het doornemen van app-voorkeuren.
Zo triest dat zelfs security geinteresseerden (die dan ook nog codeurs zijn??) zelf te belazerd zijn om app voorkeuren te bekijken (bij de loodgieter thuis lekt de kraan? En alle apps?).

Voor LibreOffice weet je dat er maandelijks patches zijn, van MS (office) weet je dat bekende lekken soms maanden, jaren niet gepatcht worden (en o wat is men dan boos op google als ze die na 90 dagen vrij geeft!).
11-02-2018, 17:53 door Anoniem
Door karma4:
Door Anoniem: De boosdoener is blijkbaar: LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
Hoe kan ik dit en al die ander Microsoft compatibility uitzetten?

Het legt ook het beroerde MS update mechanisme weer eens bloot. Omdat dat alleen met Microft software (en flash-plugin) werkt, wordt er verwacht dat die 3party applicaties gaan schreeuwen dat ze ge-update moeten worden.
Onder Linux (Mac weet ik niet) wordt er standaard elk uur (cron-job) gekeken of er updates beschikbaar zijn en eventueel geinstalleerd.
Jij belazerd jezelf flink, Daar hoeven anderen geen last van te hebben.
Ojee weer een site waar MS trollen zich roeren?
Wil je meerdere versies (bv latest greatest) naast elkaar draaien in je eigen prive omgeving. Installeer het dan met flatpack in een eigen runtimeomgeving (https://flatpak.org/). Werkt helaas niet met windows.
flatpak install flathub org.libreoffice.LibreOffice (6.0.1.1) en update het automatisch elke dag met flatpak update -y
11-02-2018, 18:08 door CykoByte_t - Bijgewerkt: 11-02-2018, 18:09
Door karma4:Jij belazerd jezelf flink, Daar hoeven anderen geen last van te hebben.
Ik ben benieuwd hoe deze anoniem zichzelf belazert. Op welk punt van die reactie reageer je, en waarom? Tevens, waarom zouden anderen last hebben van die reactie?
11-02-2018, 18:16 door Anoniem
Door Anoniem: De boosdoener is blijkbaar: LibreOffice supports ":
Hoe kan ik dit en al die ander Microsoft compatibility uitzetten?

(Mac weet ik niet)


Deze Mac weet het ook niet.

Kan in de source (in de geopende app-package) niet het bestand vinden waar dan die "COM.MICROSOFT.WEBSERVICE" functie zit en zie onder de voorkeuren van LibreOffice ook niet onder de advanced soort-van-'about:config'-opties ( met '±3miljard' ;) regels waar ik niet in kan zoeken en waar regel voor regel lezen niet te doen is) 'zo gauw' ook niet.

Niet te vinden dat stukje 'MS-omdraaien-en-diep-buigen-maar-code'.
Zou het er voor Mac versie niet in zitten?
11-02-2018, 18:37 door karma4
Door CykoByte_t:
Door karma4:Jij belazerd jezelf flink, Daar hoeven anderen geen last van te hebben.
Ik ben benieuwd hoe deze anoniem zichzelf belazert. Op welk punt van die reactie reageer je, en waarom? Tevens, waarom zouden anderen last hebben van die reactie?
Het punt waarop ik reageer is
1.de niet gefundeerde opmerkingen dat alles wat bij libreoffice fout gaat aan Microsoft ligt.
2. Het negeren van het feit dat dit een functionele gebruikerseis is om zelfstandig met gegevens aan de slag te gaan zonder eigenwijze Ict-ers in te moeten zetten.

Met die verkeerde beeldvorming hebben anderen er last van omdat de onzin niet zo er op ligt als bij vermeend.
11-02-2018, 18:59 door Anoniem
Hallo Harry Pottertjes en jullie gevederde vriendjes,

Wat ik al vreesde met een open source onderwerp gebeurde weer.

Die eeuwige controverse met propriety software moest er weer eens met de haren worden bijgesleept.

Ze kunnen het hier niet laten. Roept een open source voorstander boe, roept de MS fanboy ba.

Reageer inhoudelijk en ga niet weer op die toer. Het wordt zo vreselijk vermoeiend op de lange duur.

We kennen de argumenten en onverzoenlijkheden nu onderhand heus wel. Afgezaagd verhaal met een vreselijke baard.


Alles is code en kan slechte en minder slechte code zijn, minder veilige en nog minder veilige code.

Goed wordt het echter nooit meer, omdat we nooit met echt goede en veilige code wilden of konden beginnen.

Dus begraaf de strijdbijl, rook de vredespijp en ga op zoek naar verbetering van beide zijden.

Jodocus Oyevaer
11-02-2018, 19:47 door CykoByte_t
Door karma4:
Het punt waarop ik reageer is
1.de niet gefundeerde opmerkingen dat alles wat bij libreoffice fout gaat aan Microsoft ligt.
Nu ja, dat is behoorlijk ongenuanceerd. Anoniem beweert niet dat "alles" dat bij LibreOffice fout gaat, aan Microsoft ligt. Hij belicht alleen dat door hoe Windows in elkaar zit, applicaties van derde partijen niet automatisch geüpdatet worden als zij dat zelf ook niet regelen. Weliswaar noemt Anoniem het update-beleid daarbij "beroerd" dus ik begrijp de beweegreden van je post, maar ergens snijdt Anoniem wel de waarheid aan. Maargoed, daar ben ik al op in gegaan.


2. Het negeren van het feit dat dit een functionele gebruikerseis is om zelfstandig met gegevens aan de slag te gaan zonder eigenwijze Ict-ers in te moeten zetten.

Met die verkeerde beeldvorming hebben anderen er last van omdat de onzin niet zo er op ligt als bij vermeend.
Ik weet eerlijk gezegd niet waar je hier op doelt. Ik waardeer verder de tijd voor de uitleg.

Door Anoniem: Het grootste lek ben je zelf

voor wie het aangaat

Zoals met vrijwel elke serieus te nemen app kan je ook in Libre office je updates managen.
Maar dan moet je wel de moeite nemen om je voorkeuren door te nemen voordat je een programma gaat gebruiken.
Kennelijk doen sommige kriticasters dat niet en dat geeft te denken als het gaat om security.

LibreOffice voorkeuren (sinds jaar en dag)

... etc ...
Leuk, die sneer. Het is verder een behulpzame post, ware het niet dat er een onnodig denigrerende toon aangeslagen wordt, omdat het volgens u niet begrepen zou worden dat men via het options-menu kan updaten. Als u echter een beetje de moeite had genomen om te lezen waarvandaan die kritiek komt, had u gezien dat hetgeen u voorstelt, nou juist datgene is dat niet werkt. De "Check Now" functie geeft als resultaat dat de software al van de laatste versie is, en dat is nou juist de hele reden dat ik überhaupt op dit topic reageerde.
11-02-2018, 23:39 door Anoniem
Het grootste lek ben je zelf
Dat is een algemene opmerking in de zin van dat hoe je het wendt of keert er zaken van de gebruiker afhangen (wat ik denigrerend vind is het gebruik van het woord pebcak diw at mij betreft op de zwarte lijst van moderatie mag).
We hebben het hier niet over ios waar een gebruiker niets mag maar over systemen waar een gebruiker meer mag maar dan ook meer verantwoordelijkheden heeft.
De kop was een uitleg van dat idee, als je (lees:men) zijn of haar verantwoordelijkheid niet neemt kan dat ten koste gaan van de eigen security (lees:lekke boel).

Als u echter een beetje de moeite had genomen om te lezen waarvandaan die kritiek komt, had u gezien dat hetgeen u voorstelt, nou juist datgene is dat niet werkt. De "Check Now" functie geeft als resultaat dat de software al van de laatste versie is, en dat is nou juist de hele reden dat ik überhaupt op dit topic reageerde.
Dat klinkt ineens veel gematigder (kom er op terug)

Maar zo werd dat gepresenteerd, stellig en minder vrijblijvend van toon:
Daarbij komt helaas ook nog dat LibreOffice (en OpenOffice) een behoorlijk brakke update-routine hebben. Controleert standaard slechts om de week, downloadt niet automatisch de updates en geeft ten onrechte aan van de laatste versie te zijn. "Libreoffice 6.0 is up-to-date." Toch maar even handmatig een update doen dan.

Als we het over de toon hebben is die minder vrijblijvend, maar ik kan het hebben (ik identificeer me niet met het product, ik gebruik het wel).

De vraag is of wat je beweert wel waar is, jij constateert dat, okee,..

- Op welk systeem?
- Met welke configuratie?
- Welke versie heb je dan van Libre Office en naar welke wil je toe?
- Constateer je dat nu of elke keer?
- Hoe lang constateer je dat al?
- Zou het gelden voor alle systemen?
- Als je dat al zo lang merkt, iets mee gedaan? Waarom niet?

De antwoorden op de vragen werden niet bij de post geleverd, en omdat ze er niet bij geleverd werden is het de vraag hoe gerechtvaardigd dan die conclusie eigenlijk is; ze suggereert meer dan wat er aangenomen kan worden.

Ik kan het ook niet weerleggen want ikzelf doe per definitie niet aan automatische updates omdat ik graag zelf bepaal wanneer ik updates doe (bijvoorbeeld niet via de terraswifi of die van de ns etc).
Vanuit dat perspectief is er helemaal niets brak, maar goed, het zou moeten werken en de vraag is dan of dit een deels nieuw bug is of systeem danwel configuratie afhankelijk.
12-02-2018, 09:52 door Anoniem
Door Anoniem:
Windows controleert meerdere malen per dag of er updates zijn.
Ja, of er nog nieuwe gebruikerstelemetriedata te halen zijn zeker.

Maar dat was de helft van het antwoord: de kern van de zaak is (en dat moet je hier kennelijk uitspellen ander snapt men het niet) : ook al checkt windows elke seconde op updates, het doet er niet toe als je vrijwel geen updates uitbrengt voor je msoffice

LibreOffice heeft elke maand een update ronde en ms office heeft dat niet, bij lange na niet.
MS staat dus ongeveer stil terwijl LibreOffice voortdurend bezig is het product beter te maken en te innoveren.
Bovendien betaal je je voor die stilstand blauw.
LibreOffice is gratis.

Maar inderdaad, het moet niet zo zijn dat LibreOffice gebruikers MS achterna gaan : gratis data weggeven.
En daarom wordt het ook weer in een mum van tijd gepatcht.
Niet liegen.

Je weet dondersgoed dat Microsoft elke maand security updates voor office uitbrengt op patch tuesday en niet security updates een week van te voren.
12-02-2018, 10:30 door CykoByte_t
Door Anoniem:
Als u echter een beetje de moeite had genomen om te lezen waarvandaan die kritiek komt, had u gezien dat hetgeen u voorstelt, nou juist datgene is dat niet werkt. De "Check Now" functie geeft als resultaat dat de software al van de laatste versie is, en dat is nou juist de hele reden dat ik überhaupt op dit topic reageerde.
Dat klinkt ineens veel gematigder (kom er op terug)

Maar zo werd dat gepresenteerd, stellig en minder vrijblijvend van toon:
Daarbij komt helaas ook nog dat LibreOffice (en OpenOffice) een behoorlijk brakke update-routine hebben. Controleert standaard slechts om de week, downloadt niet automatisch de updates en geeft ten onrechte aan van de laatste versie te zijn. "Libreoffice 6.0 is up-to-date." Toch maar even handmatig een update doen dan.

Als we het over de toon hebben is die minder vrijblijvend, maar ik kan het hebben (ik identificeer me niet met het product, ik gebruik het wel).

De vraag is of wat je beweert wel waar is, jij constateert dat, okee,..

- Op welk systeem?
- Met welke configuratie?
- Welke versie heb je dan van Libre Office en naar welke wil je toe?
- Constateer je dat nu of elke keer?
- Hoe lang constateer je dat al?
- Zou het gelden voor alle systemen?
- Als je dat al zo lang merkt, iets mee gedaan? Waarom niet?

De antwoorden op de vragen werden niet bij de post geleverd, en omdat ze er niet bij geleverd werden is het de vraag hoe gerechtvaardigd dan die conclusie eigenlijk is; ze suggereert meer dan wat er aangenomen kan worden.

Ik kan het ook niet weerleggen want ikzelf doe per definitie niet aan automatische updates omdat ik graag zelf bepaal wanneer ik updates doe (bijvoorbeeld niet via de terraswifi of die van de ns etc).
Vanuit dat perspectief is er helemaal niets brak, maar goed, het zou moeten werken en de vraag is dan of dit een deels nieuw bug is of systeem danwel configuratie afhankelijk.
Fijn dat u de tijd neemt om te reageren. U heeft gelijk, mijn initiële reactie laat te wensen over. Ik post een conclusie die ik zelf trek uit mijn waarneming. Ik had beter de waarneming zelf kunnen beschrijven.

Het probleem deed zich voor in LibreOffice 6.0.0, op Windows 10. Beide het OS en de LO-installatie zijn 64 bits. Op mijn Linux systemen doet het probleem zich niet voor, omdat alles daar netjes door de package manager wordt bijgehouden.

Ik wilde updaten naar de gepatchte versie 6.0.1, maar LibreOffice gaf aan van de laatste versie voorzien te zijn bij een handmatige check naar updates.

Is dat op alle systemen zo? Goede en terechte vraag. Ik zag een paar reacties op Tweakers staan die er ook last van hadden, en trok de conclusie dat het een bug in LibreOffice betreft. Een onterechte conclusie bij reflectie, en ik denk dat excuses daarvoor ook wel op zijn plaats zijn, dus bij deze.

Ik heb het uiteindelijk "opgelost" door handmatig 6.0.1 van de site binnen te halen, en te installeren. Bij een volgende patch zal ik kijken waar het precies mis gaat.
12-02-2018, 10:36 door Tha Cleaner
Door Anoniem:
Windows controleert meerdere malen per dag of er updates zijn.
Ja, of er nog nieuwe gebruikerstelemetriedata te halen zijn zeker.
Het kunnen inderdaad verbeteringen zijn voor telemetrie data inzitten, maar ook verminderen van telemetrie data of security updates, defender updates. Maar via Windows updates wordt dit dagelijks gedaan, dat is wel een feit. Je vet gedrukte tekst zegt trouwens wel weer genoeg.

Maar dat was de helft van het antwoord: de kern van de zaak is (en dat moet je hier kennelijk uitspellen ander snapt men het niet) : ook al checkt windows elke seconde op updates, het doet er niet toe als je vrijwel geen updates uitbrengt voor je msoffice
Iets wat ze dus iedere maand eigenlijk doen? Op een afgesproken tijdstip, zodat bedrijven hier rekening mee kunnen houden? Iets wat in een bedrijf van groot belang is?
Daarnaast maakt Microsoft verschil tussen updates en product upgrades. Een bedrijf zit er niet op te wachten om iedere 6-9 maanden een nieuwe versie uit te rollen, dus Microsoft doet precies waar bedrijven op zitten te wachten.
Dus iedere maand komen er security updates uit, indien ze er zijn (en opgelost zijn).

Daarnaast doet de Click to Run versie wel functionaliteit upgrade, iedere maand krijg ik nieuwe features er bij, afhankelijk op welke branche ik zit, wel binnen de huidige versie van het product.
Volgens mij (hier ben ik niet 100% zeker van), kan je ook mte de Click to Run versie upgrades doen.

En om je eigen stukje tekst even te herhalen en dat moet je hier kennelijk uitspellen ander snapt men het niet. Dit past ook exact op je eigen post. Want het klopt niet wat jij meld.

Maar hoe dan ook, het huidige update beleid van MS Office, is precies waar bedrijven op zitten te wachten, dat is is misschien nog wel het belangrijkste.

LibreOffice heeft elke maand een update ronde en ms office heeft dat niet, bij lange na niet.
MS staat dus ongeveer stil terwijl LibreOffice voortdurend bezig is het product beter te maken en te innoveren.
Blijkbaar heb je weinig ervaring hierin. Want dit klopt gewoon niet. Daarnaast is dit juist iets wat een bedrijf wil, stabiliteit...

Bovendien betaal je je voor die stilstand blauw.
Valt wel mee. Kosten vallen best mee, als dit dit door rekent.
LibreOffice is gratis.
In aanschaf zeker weten. Voor een particulier is dit ook zeker een mogelijkheide en kan ook een mogelijkheid zijn voor een bedrijf. Maar een aanschaf zijn juist niet de kosten voor een bedrijf. TOC is veel belangrijker voor een bedrijf.

Persoonlijk heb ik in het verleden zelf met LO zitten testen. Maar de tijd die ik kwijt was aan, "hoe moet ik dit nu weer doen", daar had ik heel wat jaren MS office voor kunnen gebruiken. Nog afgezien mijn klanten niet zitten te wachten op odf documenten (ziet er raar uit, mag ik dit bestand wel openen type vragen).
12-02-2018, 11:12 door SimonS
Zojuist mijn LO versie gecheckt: geeft aan dat LO version 5.3.6 available is, nergens versie 5.4 of 6.
Toch maar even de website checken
12-02-2018, 11:35 door Anoniem
@Tha Cleaner,

Juist en dat is de kracht van de grote propriety software toepassingen, ze drukken door "dependence" (gebruikers afhankelijk maken) andere alternatieve producten weg. Ja, zowat iedereen gebruikt het betaalde monopolie product en daardoor wordt het alternatief nog verder gemarginaliseerd. Dat is precies de bedoeling.

Er komt nog een moment dat gebruik van alternatieve software zal moeten worden afgedwongen, net zoals concurrentie tegenover Monsanto-Bayer nu wettelijk via EU wetgeving mogelijk gemaakt moet worden.

De gevaren van zulk een monocultuur, moge bekend verondersteld worden. Daar wordt makkelijk voor weggelopen.

Developers gaan er ook aan meedoen, extensies en api engines alleen nog produceren in twee versies, o.a. smaak Google, die ook op andere grote browsers ook reeds loopt. Een browser als Brave nog verder marginaliseren en als het kan wegdrukken.

De groot tech bedrijven zijn als in het systeem van Mussolini in de jaren 30 bezig, het is een vorm van corporationeel fascisme. De truc is echter om allen die er anders over denken tot nazisten e.d. te bestempelen.

Waar het hart van vol is, loopt de mond van over.
12-02-2018, 13:23 door Anoniem
Door Tha Cleaner:
Door Anoniem:
Windows controleert meerdere malen per dag of er updates zijn.
Ja, of er nog nieuwe gebruikerstelemetriedata te halen zijn zeker.
Het kunnen inderdaad verbeteringen zijn voor telemetrie data inzitten, maar ook verminderen van telemetrie data of security updates, defender updates. Maar via Windows updates wordt dit dagelijks gedaan, dat is wel een feit. Je vet gedrukte tekst zegt trouwens wel weer genoeg.

Heren, heren, ik dacht dat wel duidleijk was dat dit een grapje was met een (weliswaar mogelijk) waarheidje, dat de check ook andere 'voordelen kan hebben' die boven dat andere voordel staan.

Om het goed te maken dan hierbij ook een telemetrie vondstje van LO.
Zag het toevallig op een ander systeem dat daar onder de update voorkeuren een enorm lang uniek nummer stond, dat komt ook heel dichtbij telemetrie, nog een reden om niet automatisch te updaten.

Dat nummer is nniet niks, want in 2018 hebben we er nog een andere vorm van 'telemetrie bijgekregen'.
We weten in middels allemaal hoe het ervoor staat, we weten inmiddels allemaal wie deze site raadplegen, we weten allemaal wel redenen te bedenken om op deze site lever anoniem te discussieren al dan niet met behulp van browserkeuze, proxy of vpn, we kunnen dan ook weten dat er in het etmaal dat er gediscussieerd wordt over de updateknop van een open source product (dat altijd wat meer aandacht heeft vanuit bepaalde hoeken) het een koud kunstje inmiddels is om daar landelijk metadata statistiek van te vergaren.

Alle 'anonieme' discussieerders op een rij.
Leuk he, online discussieren in het tijdperk van massasurv..eh massatelemetrie.

cbyte dank voor het antwoord, ik ga de autopdate functie omwille van aangegeven redenen niet uitproberen en het corrigeren van ene persoon.

O ja, de windows versie waar ik mee werk, 3.5 , heeft er overigens geen last van.
12-02-2018, 13:33 door Anoniem
Door Tha Cleaner:

Daarnaast maakt Microsoft verschil tussen updates en product upgrades.


Nee dat is pertinent onjuist en een mega schuiver die als gevolg heeft dat gebruikers er helemaal niets meer van snappen.

MS noemde de upgrade naar windows 10 (dus vanaf een eerder OS, 8 bijv) een UPDATE (?!!)
Van updates is het eventueel fijn dat ze automatisch gaan
Systeem Upgrades horen nooit automatisch te gaan zonder toestemming van een gebruiker.
Ms omzeilde dit eenvoudig door een upgrade (naar win10) onder de updates onder te brengen en een upgrade als update te verkopen.

MS heeft met dit gedrag de publiek perceptie van het verschil tussen update en upgrade voorgoed naar een andere wereld geholpen, en dat is zeer, zeer kwalijk (onvergeeflijk).
12-02-2018, 14:56 door Tha Cleaner
Door Anoniem: @Tha Cleaner,
Juist en dat is de kracht van de grote propriety software toepassingen, ze drukken door "dependence" (gebruikers afhankelijk maken) andere alternatieve producten weg. Ja, zowat iedereen gebruikt het betaalde monopolie product en daardoor wordt het alternatief nog verder gemarginaliseerd. Dat is precies de bedoeling.
Voor een gedeelte heb je gelijk. Echter vergeet niet, dat voornamelijke applicaties van belang zijn. Bedrijven willen oa werken en geld verdienen, daarbij kiezen ze bepaalde applicaties welke het beste passen bij bij hun. En dan vallen de meeste applicaties snel af, omdat ze niet kunnen leveren wat het bedrijf nodig heeft. Kunnen ze dat wel, dan is dat een heel mooi alternatief wat je mee moet nemen in je beslissing voor een bepaald product.
Maar de grote proprietary software levert vaak wel wat een bedrijf nodig heeft, of graag wil. Bijvoorbeeld iedere 6-9 maanden voor een nieuwe Office versie, daar zitten ze echt niet op te wachten in een Enterprise omgeving met duizenden applicaties.
Dit zie je nu bijvoorbeeld ook met Windows 10. De scheuren beginnen steeds meer zichtbaar te worden. Bedrijven zitten hierop niet te wachten. En dan hebben we het al over 12-15 maanden door looptijd.
De meeste alternatieven zijn niet geschikt voor de grote omgevingen. Al zijn er natuurlijk zat uitzonderingen mogelijk. notepad++, 7zip, gimp, greenshot, chrome, firefox zijn daar bijvoorbeeld perfecte voorbeelden van. Die zie je steeds meer voorbij komen bij bedrijven. Maar voor core applicaties zoals je Desktop OS, Office zijn er andere eisen.

Maar daarmee wil ik niet zeggen, dat het onmogelijk is. Het zijn hele mooie alternatieven, maar vaak draait het simpel om euro.

Er komt nog een moment dat gebruik van alternatieve software zal moeten worden afgedwongen, net zoals concurrentie tegenover Monsanto-Bayer nu wettelijk via EU wetgeving mogelijk gemaakt moet worden.
Dat denk ik niet. Dat zal nooit gebeuren. je kan namelijk geen alternatieve software afdingen. Dat creëer je namelijk exact het zelfde probleem. Hoe kan jij mij nu A afdwingen, als voor mij B veel beter werkt?

Je moet open standaarden adviseren, al zou afdwingen al beter zijn, maar dat bied weer niet genoeg flexibiliteit.


Developers gaan er ook aan meedoen, extensies en api engines alleen nog produceren in twee versies, o.a. smaak Google, die ook op andere grote browsers ook reeds loopt. Een browser als Brave nog verder marginaliseren en als het kan wegdrukken.
Je kan het ook zo zien.... Kijken waar de meeste vraag naar is, en je daarop focussen?

De groot tech bedrijven zijn als in het systeem van Mussolini in de jaren 30 bezig, het is een vorm van corporationeel fascisme. De truc is echter om allen die er anders over denken tot nazisten e.d. te bestempelen.
Grote uitspraken.
12-02-2018, 18:15 door Tha Cleaner
Door Anoniem:
Door Tha Cleaner:

Daarnaast maakt Microsoft verschil tussen updates en product upgrades.


Nee dat is pertinent onjuist en een mega schuiver die als gevolg heeft dat gebruikers er helemaal niets meer van snappen.

MS noemde de upgrade naar windows 10 (dus vanaf een eerder OS, 8 bijv) een UPDATE (?!!)
Van updates is het eventueel fijn dat ze automatisch gaan
Systeem Upgrades horen nooit automatisch te gaan zonder toestemming van een gebruiker.
Ms omzeilde dit eenvoudig door een upgrade (naar win10) onder de updates onder te brengen en een upgrade als update te verkopen.

MS heeft met dit gedrag de publiek perceptie van het verschil tussen update en upgrade voorgoed naar een andere wereld geholpen, en dat is zeer, zeer kwalijk (onvergeeflijk).
Tja... Voor een gedeelte heb je hier gelijk. Microsoft heeft inderdaad een OS upgrade aangeboden bij Windows Update.
Windows is tegenwoordig als een service, waarin ook nieuwe functionaliteit aangeboden wordt, dat is een onderdeel van Window 10. (of dat nu goed of fout is, laat ik even in het midden). Maar technisch gezien, heeft Microsoft dit meer 1 keer gedaan.

Echter de wereld is nu niet even veranderd omdat MS dit bedacht heeft. En de thuis gebruiker maakt dit niet uit, bedrijven beheren dit meestal centraal en zijn dus in control.

Maar zoals ik in mijn post hierboven ook aangeef. Er komen steeds meer scheuren in de WIndows 10 gedachte. Er is een redenen waarom bedrijven nog steeds zoveel op W7 werken. De enige goede oplossing is eigenlijk Windows 10 LTSB. Maar dit is weer een hele andere discussie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.