LibreOffice акысыз кеңсе топтомунда бир аялуу (CVE-2022-3140) аныкталган, ал документте атайын даярдалган шилтеме басылганда же документ менен иштөөдө белгилүү окуя башталганда ыктыярдуу скрипттерди аткарууга мүмкүндүк берет. Көйгөй LibreOffice 7.3.6 жана 7.4.1 жаңыртууларында чечилди.
Бул алсыздык LibreOffice'ке тиешелүү кошумча макро чакыруу схемасы 'vnd.libreoffice.command' колдоосунун кошулушунан келип чыккан. Бул схеманы LibreOffice'ти интеграциялоо үчүн колдонулган URI'лерде да колдонсо болот сервер MS SharePoint. Чабуулчу мындай URI'лерди каалаган ички макросторду каалаган аргументтери менен чакырган шилтемелерди түзүү үчүн колдоно алат. Документтеги окуя тарабынан чыкылдатылганда же активдештирилгенде, мындай шилтемелер колдонуучуга эскертүү көрсөтпөстөн скрипттерди иштетүү үчүн колдонулушу мүмкүн.
Source: opennet.ru
