У офісным пакеце LibreOffice уразлівасць (), якую можна выкарыстоўваць для выканання адвольнага кода пры адкрыцці дакументаў, падрыхтаваных зламыснікам.
Уразлівасць выклікана тым, што кампанент LibreLogo, прызначаны для навучання праграмаванню і ўстаўкі вектарных малюнкаў, транслюе свае аперацыі ў код на мове Python. Маючы магчымасць выканаць інструкцыі LibreLogo зламыснік можа дамагчыся выкананні любога кода на мове Python у кантэксце бягучага сеансу карыстача, скарыстаўшыся якая прадстаўляецца ў LibreLogo камандай «run». З Python пры дапамозе функцыі system(), у сваю чаргу, можна выклікаць адвольныя сістэмныя каманды.
LibreLogo з'яўляецца апцыянальным кампанентам, але ў LibreOffice па змаўчанні прапануюцца макрасы, якія даюць магчымасць выклікаць LibreLogo і не патрабавальныя пры сваім выкананні пацверджання выканання аперацыі і не адлюстроўваюць папярэджанне, нават пры ўключэнні рэжыму максімальнай абароны макрасаў (выбар узроўня "Very High").
Для нападу можна прывязаць такі макрас да апрацоўшчыка падзеі, які спрацоўвае, напрыклад, пры навядзенні курсора мышы да вызначанай вобласці або пры актывацыі фокусу ўводу на дакуменце (падзея onFocus). У выніку, пры адкрыцці падрыхтаванага атакавалым дакумента можна дамагчыся ўтоенага выканання Python-кода, неўзаметку ад карыстача. Напрыклад, у прадэманстраваным прыкладзе эксплоіту пры адкрыцці дакумента без папярэджання запускаецца сістэмны калькулятар.
Уразлівасць без лішняй агалоскі была ўхіленая ў абнаўленні LibreOffice 6.2.5, выпушчаным 1 ліпеня, але як апынулася праблема была ўхіленая не цалкам (блакаваны толькі выклік LibreLogo з макрасаў) і некаторыя іншыя вектары для правядзення нападу. Акрамя таго, праблема не вырашана ў выпуску 6.1.6, рэкамендаваным для карпаратыўных карыстальнікаў. Цалкам ухіліць уразлівасць плануецца ў выпуску LibreOffice 6.3, чаканым на наступным тыдні. Да выпуску паўнавартаснага абнаўлення карыстачам рэкамендуецца відавочна адключыць кампанент LibreLogo, які па змаўчанні даступны ў шматлікіх пастаўках. Часткова ўразлівасць ухіленая ў , , и .
Крыніца: opennet.ru