무료 오피스 제품군인 LibreOffice에서 취약점(CVE-2022-3140)이 확인되었습니다. 이 취약점은 문서에서 특별히 준비된 링크를 클릭하거나 문서 작업 중 특정 이벤트가 트리거될 때 임의 스크립트의 실행을 허용합니다. 이 문제는 LibreOffice 7.3.6 및 7.4.1 업데이트에서 해결되었습니다.
이 취약점은 LibreOffice에 특정한 추가 매크로 호출 구성표 'vnd.libreoffice.command'에 대한 지원 추가로 인해 발생합니다. 이 체계는 LibreOffice를 MS SharePoint 서버와 통합하는 데 사용되는 URI에도 사용할 수 있습니다. 공격자는 이러한 URI를 사용하여 임의 인수로 내부 매크로를 호출하는 링크를 생성할 수 있습니다. 문서의 이벤트를 클릭하거나 활성화하면 이러한 링크를 사용하여 사용자에게 경고를 표시하지 않고 스크립트를 실행할 수 있습니다.
출처 : opennet.ru