In der kostenlosen Office-Suite LibreOffice wurde eine Schwachstelle (CVE-2022-3140) identifiziert, die die Ausführung beliebiger Skripte ermöglicht, wenn ein speziell vorbereiteter Link in einem Dokument angeklickt wird oder ein bestimmtes Ereignis während der Arbeit mit einem Dokument ausgelöst wird. Das Problem wurde in den LibreOffice-Updates 7.3.6 und 7.4.1 behoben.
Die Sicherheitslücke wird durch die zusätzliche Unterstützung für ein zusätzliches Makroaufrufschema „vnd.libreoffice.command“ verursacht, das speziell für LibreOffice gilt. Dieses Schema kann auch in URIs verwendet werden, die zur Integration von LibreOffice mit dem MS SharePoint-Server verwendet werden. Ein Angreifer kann solche URIs verwenden, um Links zu erstellen, die beliebige interne Makros mit beliebigen Argumenten aufrufen. Wenn ein Ereignis in einem Dokument angeklickt oder aktiviert wird, können solche Links zum Ausführen von Skripten verwendet werden, ohne dass dem Benutzer eine Warnung angezeigt wird.
Source: opennet.ru