LibreOffice pulsuz ofis paketində sənəddə xüsusi hazırlanmış keçid kliklədikdə və ya sənədlə işləyərkən müəyyən hadisə baş verdikdə ixtiyari skriptlərin icrasına imkan verən boşluq (CVE-2022-3140) müəyyən edilib. Problem LibreOffice 7.3.6 və 7.4.1 yeniləmələrində aradan qaldırıldı.
Bu zəiflik, LibreOffice-ə xas olan əlavə makro çağırış sxemi olan 'vnd.libreoffice.command' üçün dəstəyin əlavə edilməsindən qaynaqlanır. Bu sxem, LibreOffice-i inteqrasiya etmək üçün istifadə edilən URI-lərdə də istifadə edilə bilər. server MS SharePoint. Hücumçu bu cür URI-lərdən istifadə edərək istənilən daxili makroları ixtiyari arqumentlərlə çağıran keçidlər yarada bilər. Sənəddəki bir hadisə tərəfindən klikləndikdə və ya aktivləşdirildikdə, bu cür keçidlər istifadəçiyə xəbərdarlıq göstərmədən skriptləri işə salmaq üçün istifadə edilə bilər.
Mənbə: opennet.ru
