LibreOffice үнэгүй оффисын иж бүрдэлд сул тал (CVE-2022-3140) тогтоогдсон бөгөөд энэ нь баримт бичигт тусгайлан бэлтгэсэн холбоос дээр дарах эсвэл баримттай ажиллах явцад тодорхой үйл явдал өдөөх үед дурын скриптүүдийг ажиллуулах боломжийг олгодог. LibreOffice 7.3.6 болон 7.4.1-ийн шинэчлэлтүүд дээр асуудлыг зассан.
Энэ эмзэг байдал нь LibreOffice-д зориулагдсан "vnd.libreoffice.command" макро дуудлагын нэмэлт схемд дэмжлэг нэмсэнтэй холбоотой юм. Энэ схемийг LibreOffice-ийг MS SharePoint сервертэй нэгтгэхэд ашигладаг URI-д мөн ашиглаж болно. Халдагчид ийм URI-г ашиглан дурын аргумент бүхий дотоод макрог дуудах холбоос үүсгэж болно. Баримт бичигт байгаа үйл явдлыг товших эсвэл идэвхжүүлэх үед ийм холбоосууд нь хэрэглэгчдэд анхааруулга үзүүлэхгүйгээр скриптүүдийг ажиллуулах боломжтой.
Эх сурвалж: opennet.ru