புரோஹோஸ்டர் > Блог > இணைய செய்தி > தீங்கிழைக்கும் ஆவணங்களைத் திறக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கும் LibreOffice இல் உள்ள பாதிப்பு

தீங்கிழைக்கும் ஆவணங்களைத் திறக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கும் LibreOffice இல் உள்ள பாதிப்பு

LibreOffice அலுவலக தொகுப்பில் அடையாளம் காணப்பட்டது பாதிப்பு (CVE-2019-9848), தாக்குபவரால் தயாரிக்கப்பட்ட ஆவணங்களைத் திறக்கும்போது தன்னிச்சையான குறியீட்டை இயக்கப் பயன்படும்.

நிரலாக்கத்தை கற்பிப்பதற்கும் திசையன் வரைபடங்களைச் செருகுவதற்கும் வடிவமைக்கப்பட்ட LibreLogo கூறு, அதன் செயல்பாடுகளை பைதான் குறியீடாக மொழிபெயர்ப்பதால் பாதிப்பு ஏற்படுகிறது. LibreLogo வழிமுறைகளைச் செயல்படுத்தும் திறனுடன், LibreLogoவில் வழங்கப்பட்ட "ரன்" கட்டளையைப் பயன்படுத்தி, தற்போதைய பயனர் அமர்வின் சூழலில் எந்த பைதான் குறியீட்டையும் தாக்குபவர் செயல்படுத்தலாம். பைத்தானில் இருந்து, கணினி() செயல்பாட்டைப் பயன்படுத்தி, நீங்கள் தன்னிச்சையான கணினி கட்டளைகளை அழைக்கலாம்.

LibreLogo ஒரு விருப்பமான கூறு, ஆனால் LibreOffice இயல்பாக மேக்ரோக்களை வழங்குகிறது, இது LibreLogo ஐ அழைக்க உங்களை அனுமதிக்கிறது மற்றும் செயல்பாட்டின் உறுதிப்படுத்தல் தேவையில்லை மற்றும் அதிகபட்ச மேக்ரோ பாதுகாப்பு பயன்முறை இயக்கப்பட்டிருந்தாலும் கூட எச்சரிக்கையைக் காட்ட வேண்டாம் ("மிக உயர்ந்த" நிலையைத் தேர்ந்தெடுக்கவும் )
தாக்குவதற்கு, அத்தகைய மேக்ரோவை தூண்டப்பட்ட நிகழ்வு கையாளுபவருடன் பிணைக்கலாம், எடுத்துக்காட்டாக, மவுஸ் கர்சரை ஒரு குறிப்பிட்ட பகுதியில் நகர்த்தும்போது அல்லது ஆவணத்தில் உள்ளீடு கவனம் செயல்படுத்தப்படும் போது (onFocus நிகழ்வு). இதன் விளைவாக, தாக்குபவர் தயாரித்த ஆவணத்தைத் திறக்கும் போது, ​​பயனருக்குத் தெரியாமல், பைதான் குறியீட்டை மறைத்து செயல்படுத்த முடியும். எடுத்துக்காட்டாக, சுரண்டல் எடுத்துக்காட்டில், ஒரு ஆவணத்தைத் திறக்கும்போது, ​​கணினி கால்குலேட்டர் எச்சரிக்கை இல்லாமல் தொடங்கப்பட்டது.

தீங்கிழைக்கும் ஆவணங்களைத் திறக்கும்போது குறியீட்டை செயல்படுத்த அனுமதிக்கும் LibreOffice இல் உள்ள பாதிப்பு

ஜூலை 6.2.5 அன்று வெளியிடப்பட்ட LibreOffice 1 புதுப்பிப்பில் பாதிப்பு அமைதியாக சரி செய்யப்பட்டது, ஆனால் அது முடிந்தவுடன், சிக்கல் முழுமையாக அகற்றப்படவில்லை (மேக்ரோக்களில் இருந்து LibreLogo ஐ அழைப்பது மட்டுமே தடுக்கப்பட்டது) மற்றும் திருத்தப்படாமல் இருக்கும் வேறு சில தாக்குதல் திசையன்கள். கூடுதலாக, 6.1.6 வெளியீட்டில் சிக்கல் தீர்க்கப்படவில்லை, இது நிறுவன பயனர்களுக்கு பரிந்துரைக்கப்படுகிறது. அடுத்த வாரம் எதிர்பார்க்கப்படும் LibreOffice 6.3 வெளியீட்டில் பாதிப்பை முழுமையாக சரிசெய்ய திட்டமிடப்பட்டுள்ளது. முழு புதுப்பிப்பு வெளியிடப்படும் வரை, பயனர்கள் LibreLogo கூறுகளை வெளிப்படையாக முடக்குமாறு அறிவுறுத்தப்படுகிறார்கள், இது பல விநியோகங்களில் இயல்பாகவே கிடைக்கும். பாதிப்பு ஓரளவு சரி செய்யப்பட்டுள்ளது டெபியன், ஃபெடோரா, SUSE/openSUSE и உபுண்டு.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்