Sa LibreOffice office suite kahuyang (), nga magamit sa pag-execute sa arbitraryong code sa pag-abli sa mga dokumento nga giandam sa usa ka tig-atake.
Ang kahuyang tungod sa kamatuoran nga ang LibreLogo component, nga gidisenyo alang sa pagtudlo sa programming ug pagsal-ot sa mga vector drawing, naghubad sa mga operasyon niini ngadto sa Python code. Uban sa abilidad sa pagpatuman sa LibreLogo nga mga instruksyon, ang usa ka tig-atake mahimong hinungdan sa bisan unsang Python code nga ipatuman sa konteksto sa kasamtangan nga sesyon sa user pinaagi sa paggamit sa "run" nga sugo nga gihatag sa LibreLogo. Gikan sa Python, gamit ang system() function, mahimo nimo, sa baylo, tawagan ang arbitraryong mga command system.
Ang LibreLogo usa ka opsyonal nga bahin, apan ang LibreOffice nagtanyag sa mga macros pinaagi sa default nga nagtugot kanimo sa pagtawag sa LibreLogo ug wala magkinahanglan og kumpirmasyon sa operasyon ug dili magpakita sa usa ka pasidaan, bisan kung ang maximum nga macro protection mode gipalihok (pagpili sa "Taas kaayo" nga lebel ).
Sa pag-atake, mahimo nimong ibugkos ang ingon nga macro sa usa ka tigdumala sa panghitabo nga na-trigger, pananglitan, kung ang cursor sa mouse gipalupad sa usa ka lugar o kung ang pag-focus sa input gi-aktibo sa dokumento (ang onFocus nga panghitabo). Ingon usa ka sangputanan, kung nagbukas sa usa ka dokumento nga giandam sa usa ka tig-atake, posible nga makab-ot ang tinago nga pagpatuman sa code sa Python, nga wala nahibal-an sa tiggamit. Pananglitan, sa gipakita nga panig-ingnan sa pagpahimulos, kung nagbukas sa usa ka dokumento, ang calculator sa sistema gilunsad nga walaβy pasidaan.
Ang pagkahuyang hilom nga giayo sa LibreOffice 6.2.5 update, gipagawas kaniadtong Hulyo 1, apan ingon nga kini nahimo, ang problema wala hingpit nga giwagtang (ang pagtawag lamang sa LibreLogo gikan sa mga macro ang gibabagan) ug ubang mga vector sa pag-atake. Dugang pa, ang isyu wala masulbad sa 6.1.6 nga pagpagawas, nga girekomenda alang sa mga tiggamit sa negosyo. Ang pagkahuyang giplano nga hingpit nga matul-id sa pagpagawas sa LibreOffice 6.3, gilauman sa sunod semana. Hangtud nga ang usa ka bug-os nga update nga gipagawas, ang mga tiggamit gitambagan sa dayag nga pag-disable sa LibreLogo component, nga anaa sa default sa daghang mga distribusyon. Ang pagkahuyang kay partially fixed sa , , ΠΈ .
Source: opennet.ru