Tasuta LibreOffice'i kontorikomplektis on tuvastatud haavatavus (CVE-2022-3140), mis võimaldab korraldada suvaliste skriptide täitmist, kui klõpsate dokumendis spetsiaalselt ettevalmistatud lingile või kui teatud sündmus vallandub dokumendiga töötamisel. Probleem on lahendatud LibreOffice 7.3.6 ja 7.4.1 värskendustes.
Haavatavuse põhjuseks on LibreOffice'ile spetsiifilise täiendava makrokõnede skeemi vnd.libreoffice.command toe lisamine. Seda skeemi saab kasutada ka URI-des, mida kasutatakse LibreOffice'i integreerimiseks MS SharePointi serveriga. Ründaja saab selliseid URI-sid kasutada linkide loomiseks, mis kutsuvad suvaliste argumentidega mis tahes sisemisi makrosid. Kui klõpsatakse või käivitatakse dokumendis olev sündmus, saab selliseid linke kasutada skriptide käivitamiseks ilma kasutajale hoiatust kuvamata.
Allikas: opennet.ru