Wer dachte, mit XML wird alles besser, der kann sich gleich mal auf ein rüdes Erwachen einstellen. Ich fasse mal die übelsten Punkte kurz zusammen:
Die Skriptsprachen können aufs Netz zugreifen (WTF?! Welchen positiven Effekt kann das überhaupt haben? Mal ganz abgesehen von der Privatsphäre sehe ich schon vor mir, daß Leute auf dem 25C3 ihre Präsentation nicht halten können, weil Netz gerade weg ist).
Das Skript-Sicherheitsmodell von OpenOffice basiert darauf, Makros und Skripte kryptographisch zu signieren. Prima, wir brauchen also lediglich eine weltumspannende PKI!1!!
Man kann OLE embedden. OLE ist das aktuelle Albtraum-Dateiformat. Wir werden also selbst unter der unwahrscheinlichen Annahme, daß der neue Code sicher ist, nicht sicherer als bisher sein.
Ein OLE-Paket kann auf externe Dateien und Kommandozeilen (?!?) verweisen
Bei OOo konnten sie Makros in einem signierten (!) Dokument ersetzen, ohne daß OOs gemeckert hat
OOo hat folgende Skriptsprachen, eine schlimmer als die nächste: Java, Javascript, Basic und Python
Das neue Format ist ZIP mit XML und Grafiken; Exploits für ZIP (gab es schon), XML (gab es schon) und Grafikformate (boah gab es davon viele) sind jetzt alle Remote Exploits.
Makros werden bei MS Office in einem OLE2 Container abgelegt; die habe da über 6000 Seiten Spec für das Format, aber die OLE2-Teile werden darin nicht spezifiziert, geschweige denn OLE2 selber
MS Office und OOo haben ein Feature, um versehentlich hingeschickte Daten (Name, History) mitzuschicken; das funktioniert bei beiden nicht für eingebettete OLE2-Daten
Die ZIP-Dateinamen und Pfade sind case insensitive, d.h. wenn man "zip -d document scripts/" macht, und da noch ein "Scripts/" existiert, überleben die Makros.
Bei OOo kann man die Makros auch .txt nennen, wenn man das Manifest entsprechend ändert
Und da lachen die Leute, wenn ich LaTeX benutze für meine Dokumente…