Im kostenlosen BĂŒro-Paket LibreOffice wurde eine SicherheitsanfĂ€lligkeit (CVE-2022-3140) entdeckt, die es ermöglicht, willkĂŒrliche Skripte auszufĂŒhren, wenn auf einen speziell vorbereiteten Link im Dokument geklickt wird oder wenn wĂ€hrend der Bearbeitung des Dokuments ein bestimmtes Ereignis ausgelöst wird. Das Problem wurde in den Updates LibreOffice 7.3.6 und 7.4.1 behoben.
Die SicherheitsanfĂ€lligkeit ergibt sich aus der HinzufĂŒgung der UnterstĂŒtzung fĂŒr ein zusĂ€tzliches Makroschema âvnd.libreoffice.commandâ, das spezifisch fĂŒr LibreOffice ist. Dieses Schema kann unter anderem in URIs verwendet werden, die zur Integration von LibreOffice mit dem Server durch MS SharePoint dienen. Ein Angreifer kann solche URIs nutzen, um Links zu erstellen, die beliebige interne Makros mit beliebigen Argumenten aufrufen. Durch einen Klick oder die Aktivierung eines Ereignisses im Dokument können solche Links verwendet werden, um Skripte auszufĂŒhren, ohne den Benutzer zu warnen.
Quelle: opennet.ru
