Nella suite per ufficio LibreOffice vulnerabilità (), che può essere utilizzato per eseguire codice arbitrario durante l'apertura di documenti preparati da un utente malintenzionato.
La vulnerabilità è causata dal fatto che il componente LibreLogo, pensato per insegnare la programmazione e inserire disegni vettoriali, traduce le sue operazioni in codice Python. Con la capacità di eseguire le istruzioni di LibreLogo, un utente malintenzionato può causare l'esecuzione di qualsiasi codice Python nel contesto della sessione utente corrente utilizzando il comando "esegui" fornito in LibreLogo. Da Python, utilizzando la funzione system(), è possibile, a sua volta, chiamare comandi di sistema arbitrari.
LibreLogo è un componente opzionale, ma LibreOffice offre macro per impostazione predefinita che consentono di chiamare LibreLogo e non richiedono conferma dell'operazione e non visualizzano un avviso, anche quando è abilitata la modalità di protezione massima delle macro (selezionando il livello "Molto alta" ).
Per attaccare, è possibile associare una macro di questo tipo a un gestore di eventi che viene attivato, ad esempio, quando il cursore del mouse viene posizionato su una determinata area o quando viene attivato il focus di input sul documento (l'evento onFocus). Di conseguenza, quando si apre un documento preparato da un utente malintenzionato, è possibile ottenere l'esecuzione nascosta del codice Python, all'insaputa dell'utente. Ad esempio, nell'esempio di exploit illustrato, all'apertura di un documento, il calcolatore di sistema viene avviato senza preavviso.
La vulnerabilità è stata risolta silenziosamente nell'aggiornamento LibreOffice 6.2.5, rilasciato il 1 luglio, ma come si è scoperto, il problema non è stato completamente eliminato (è stata bloccata solo la chiamata a LibreLogo dalle macro) e alcuni altri vettori di attacco. Inoltre, il problema non è stato risolto nella versione 6.1.6, consigliata per gli utenti aziendali. Si prevede che la vulnerabilità venga completamente risolta con il rilascio di LibreOffice 6.3, previsto per la prossima settimana. Fino al rilascio di un aggiornamento completo, si consiglia agli utenti di disabilitare esplicitamente il componente LibreLogo, disponibile per impostazione predefinita in molte distribuzioni. La vulnerabilità è stata parzialmente risolta , , и .
Fonte: opennet.ru