LibreOffice آفيس سوٽ ۾ ڪمزوري ()، جيڪو استعمال ڪري سگهجي ٿو صوابديدي ڪوڊ کي عمل ڪرڻ لاءِ جڏهن هڪ حملي ڪندڙ طرفان تيار ڪيل دستاويزن کي کولڻ.
ڪمزوري ان حقيقت جي ڪري پيدا ٿئي ٿي ته LibreLogo جزو، پروگرامنگ سيکارڻ ۽ ویکٹر ڊرائنگ داخل ڪرڻ لاءِ ٺهيل آهي، ان جي عملن کي پٿون ڪوڊ ۾ ترجمو ڪري ٿو. LibreLogo جي هدايتن تي عمل ڪرڻ جي صلاحيت سان، هڪ حملو ڪندڙ ڪنهن به پٿون ڪوڊ کي موجوده صارف سيشن جي حوالي سان عمل ڪرڻ جو سبب ڏئي سگهي ٿو "رن" ڪمانڊ استعمال ڪندي LibreLogo ۾ مهيا ڪيل. Python کان، سسٽم () فنڪشن استعمال ڪندي، توهان ڪري سگهو ٿا، موڙ ۾، صوابديدي سسٽم حڪمن کي ڪال ڪريو.
LibreLogo هڪ اختياري جزو آهي، پر LibreOffice ڊفالٽ طور تي ميڪرو پيش ڪري ٿو جيڪي توهان کي LibreLogo کي ڪال ڪرڻ جي اجازت ڏين ٿا ۽ آپريشن جي تصديق جي ضرورت نه آهي ۽ ڊيڄاريندڙ نه ڏيکاريو، جيتوڻيڪ وڌ ۾ وڌ ميڪرو تحفظ واري موڊ کي فعال ڪيو وڃي (منتخب ڪرڻ "ڏاڍي اعلي" سطح ).
حملو ڪرڻ لاءِ، توهان اهڙي ميڪرو کي ايونٽ هينڊلر سان جڙي سگهو ٿا جيڪو شروع ڪيو ويو آهي، مثال طور، جڏهن مائوس جو ڪرسر ڪنهن خاص علائقي تي هور ڪيو ويندو آهي يا جڏهن ان پٽ فوڪس کي ڊاڪيومينٽ تي چالو ڪيو ويندو آهي (The onFocus ايونٽ). نتيجي طور، جڏهن هڪ حملي ڪندڙ طرفان تيار ڪيل دستاويز کي کولڻ، اهو ممڪن آهي ته پٿون ڪوڊ جي پوشیدہ عملدرآمد حاصل ڪرڻ، صارف کي اڻڄاتل. مثال طور، استحصال جي مثال ۾ ڏيکاريل آهي، جڏهن هڪ دستاويز کي کولڻ، سسٽم ڪيڪٽريٽر شروع ڪيو ويو آهي بغير ڊيڄاريندڙ.
6.2.5 جولاءِ تي جاري ڪيل LibreOffice 1 اپڊيٽ ۾ ڪمزوريءَ کي خاموشيءَ سان طئي ڪيو ويو، پر جيئن ته اهو نڪتو، اهو مسئلو مڪمل طور تي ختم نه ٿيو هو (صرف ميڪروز کان LibreLogo کي ڪال ڪرڻ بند ڪيو ويو هو) ۽ ڪجھ ٻيا حملا ویکٹر. اضافي طور تي، مسئلو حل نه ڪيو ويو آهي 6.1.6 رليز ۾، جيڪو انٽرنيشنل استعمال ڪندڙن لاء سفارش ڪئي وئي آهي. LibreOffice 6.3 جي رليز ۾ خطري کي مڪمل طور تي طئي ڪرڻ جي منصوبابندي ڪئي وئي آهي، ايندڙ هفتي متوقع. جيستائين مڪمل اپڊيٽ جاري نه ڪئي وڃي، صارفين کي صلاح ڏني وئي آهي ته واضح طور تي LibreLogo جزو کي غير فعال ڪن، جيڪو ڪيترن ئي تقسيم ۾ ڊفالٽ طور تي دستياب آهي. خطري کي جزوي طور تي مقرر ڪيو ويو آهي , , и .
جو ذريعو: opennet.ru