Er is een kwetsbaarheid (CVE-2022-3140) geïdentificeerd in het gratis kantoorpakket LibreOffice, waarmee willekeurige scripts kunnen worden uitgevoerd wanneer op een speciaal voorbereide koppeling in een document wordt geklikt of wanneer een bepaalde gebeurtenis wordt geactiveerd tijdens het werken met een document. Het probleem is opgelost in de updates van LibreOffice 7.3.6 en 7.4.1.
Het beveiligingslek wordt veroorzaakt door de toevoeging van ondersteuning voor een extra macro-aanroepschema 'vnd.libreoffice.command', specifiek voor LibreOffice. Dit schema kan ook worden gebruikt in URI's die worden gebruikt om LibreOffice te integreren met de MS SharePoint-server. Een aanvaller kan dergelijke URI's gebruiken om koppelingen te maken die interne macro's met willekeurige argumenten aanroepen. Wanneer op een gebeurtenis in een document wordt geklikt of deze wordt geactiveerd, kunnen dergelijke koppelingen worden gebruikt om scripts uit te voeren zonder een waarschuwing aan de gebruiker weer te geven.
Bron: opennet.ru