In die LibreOffice-kantoorpakket kwesbaarheid (), wat gebruik kan word om arbitrêre kode uit te voer wanneer dokumente oopgemaak word wat deur 'n aanvaller voorberei is.
Die kwesbaarheid word veroorsaak deur die feit dat die LibreLogo-komponent, ontwerp vir die onderrig van programmering en die invoeging van vektortekeninge, sy bedrywighede in Python-kode vertaal. Met die vermoë om LibreLogo-instruksies uit te voer, kan 'n aanvaller enige Python-kode laat uitvoer in die konteks van die huidige gebruikersessie deur die "run"-opdrag wat in LibreLogo verskaf word, te gebruik. Van Python, met behulp van die stelsel()-funksie, kan jy op sy beurt arbitrêre stelselopdragte oproep.
LibreLogo is 'n opsionele komponent, maar LibreOffice bied by verstek makro's wat jou toelaat om LibreLogo te bel en nie bevestiging van die bewerking vereis nie en nie 'n waarskuwing vertoon nie, selfs wanneer die maksimum makrobeskermingsmodus geaktiveer is (as die "Baie Hoë" vlak kies ).
Om aan te val, kan jy so 'n makro bind aan 'n gebeurtenishanteerder wat geaktiveer word, byvoorbeeld wanneer die muiswyser oor 'n sekere area beweeg word of wanneer invoerfokus op die dokument geaktiveer word (die onFocus gebeurtenis). As gevolg hiervan, wanneer 'n dokument wat deur 'n aanvaller voorberei is, oopgemaak word, is dit moontlik om verborge uitvoering van Python-kode te verkry, sonder dat die gebruiker dit weet. Byvoorbeeld, in die ontginningsvoorbeeld wat gedemonstreer word, word die stelselrekenaar sonder waarskuwing geloods wanneer 'n dokument oopgemaak word.
Die kwesbaarheid is stilweg reggestel in die LibreOffice 6.2.5-opdatering, wat op 1 Julie vrygestel is, maar soos dit geblyk het, is die probleem nie heeltemal uitgeskakel nie (slegs om LibreLogo vanaf makro's te bel is geblokkeer) en 'n paar ander aanvalsvektore. Boonop word die probleem nie opgelos in die 6.1.6-vrystelling nie, wat aanbeveel word vir ondernemingsgebruikers. Die kwesbaarheid word beplan om heeltemal reggestel te word in die vrystelling van LibreOffice 6.3, wat volgende week verwag word. Totdat 'n volledige opdatering vrygestel word, word gebruikers aangeraai om die LibreLogo-komponent, wat by verstek in baie verspreidings beskikbaar is, uitdruklik te deaktiveer. Die kwesbaarheid is gedeeltelik reggestel , , и .
Bron: opennet.ru