Katika ofisi ya LibreOffice suite mazingira magumu (), ambayo inaweza kutumika kutekeleza msimbo wa kiholela wakati wa kufungua hati zilizoandaliwa na mshambuliaji.
Udhaifu huo unasababishwa na ukweli kwamba sehemu ya LibreLogo, iliyoundwa kwa ajili ya kufundisha upangaji programu na kuingiza michoro ya vekta, hutafsiri shughuli zake katika msimbo wa Python. Kwa uwezo wa kutekeleza maagizo ya LibreLogo, mshambuliaji anaweza kusababisha msimbo wowote wa Python kutekeleza katika muktadha wa kipindi cha sasa cha mtumiaji kwa kutumia amri ya "kukimbia" iliyotolewa katika LibreLogo. Kutoka kwa Python, kwa kutumia mfumo () kazi, unaweza, kwa upande wake, kupiga amri za mfumo wa kiholela.
LibreLogo ni kipengele cha hiari, lakini LibreOffice inatoa macros kwa chaguo-msingi ambayo hukuruhusu kupiga simu LibreLogo na haihitaji uthibitisho wa operesheni na usionyeshe onyo, hata wakati hali ya juu zaidi ya ulinzi mkubwa imewashwa (kuchagua kiwango cha "Juu Sana" )
Ili kushambulia, unaweza kufunga jumla kama hiyo kwa kidhibiti cha tukio ambacho kimeanzishwa, kwa mfano, wakati kielekezi cha kipanya kinapoelea juu ya eneo fulani au umakini wa ingizo unapowashwa kwenye hati (tukio la onFocus). Matokeo yake, wakati wa kufungua hati iliyoandaliwa na mshambuliaji, inawezekana kufikia utekelezaji wa siri wa msimbo wa Python, bila kujua kwa mtumiaji. Kwa mfano, katika mfano wa unyonyaji ulioonyeshwa, wakati wa kufungua hati, kihesabu cha mfumo kinazinduliwa bila onyo.
Udhaifu ulisasishwa kimya kimya katika sasisho la LibreOffice 6.2.5, iliyotolewa mnamo Julai 1, lakini kama ilivyotokea, shida haikuondolewa kabisa (kupiga simu kwa LibreLogo kutoka kwa macros pekee kulizuiwa) na veta zingine za kushambulia. Zaidi ya hayo, suala halijatatuliwa katika toleo la 6.1.6, ambalo linapendekezwa kwa watumiaji wa biashara. Athari hiyo imepangwa kurekebishwa kabisa katika kutolewa kwa LibreOffice 6.3, inayotarajiwa wiki ijayo. Hadi sasisho kamili litakapotolewa, watumiaji wanashauriwa kuzima kwa uwazi sehemu ya LibreLogo, ambayo inapatikana kwa chaguo-msingi katika usambazaji mwingi. Athari ya kuathiriwa imerekebishwa kwa kiasi , , ΠΈ .
Chanzo: opennet.ru