LibreOffice ఆఫీస్ సూట్లో
ప్రోగ్రామింగ్ను బోధించడం మరియు వెక్టర్ డ్రాయింగ్లను చొప్పించడం కోసం రూపొందించబడిన LibreLogo భాగం, దాని కార్యకలాపాలను పైథాన్ కోడ్లోకి అనువదించడం వల్ల ఈ దుర్బలత్వం ఏర్పడింది. LibreLogo సూచనలను అమలు చేయగల సామర్థ్యంతో, దాడి చేసే వ్యక్తి LibreLogoలో అందించిన "రన్" ఆదేశాన్ని ఉపయోగించడం ద్వారా ప్రస్తుత వినియోగదారు సెషన్ సందర్భంలో ఏదైనా పైథాన్ కోడ్ని అమలు చేయగలడు. పైథాన్ నుండి, సిస్టమ్() ఫంక్షన్ ఉపయోగించి, మీరు ఏకపక్ష సిస్టమ్ ఆదేశాలను కాల్ చేయవచ్చు.
LibreLogo అనేది ఒక ఐచ్ఛిక భాగం, కానీ LibreOffice డిఫాల్ట్గా మాక్రోలను అందిస్తుంది, ఇది LibreLogoకి కాల్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు ఆపరేషన్ యొక్క నిర్ధారణ అవసరం లేదు మరియు గరిష్ట స్థూల రక్షణ మోడ్ ప్రారంభించబడినప్పుడు కూడా హెచ్చరికను ప్రదర్శించవద్దు (“వెరీ హై” స్థాయిని ఎంచుకోవడం )
దాడి చేయడానికి, మీరు ట్రిగ్గర్ చేయబడిన ఈవెంట్ హ్యాండ్లర్కి అటువంటి స్థూలాన్ని బంధించవచ్చు, ఉదాహరణకు, మౌస్ కర్సర్ నిర్దిష్ట ప్రాంతంపై ఉంచబడినప్పుడు లేదా పత్రంపై ఇన్పుట్ ఫోకస్ సక్రియం చేయబడినప్పుడు (onFocus ఈవెంట్). ఫలితంగా, దాడి చేసే వ్యక్తి తయారుచేసిన పత్రాన్ని తెరిచినప్పుడు, వినియోగదారుకు తెలియకుండా పైథాన్ కోడ్ యొక్క దాచిన అమలును సాధించడం సాధ్యమవుతుంది. ఉదాహరణకు, దోపిడీ ఉదాహరణలో, పత్రాన్ని తెరిచేటప్పుడు, సిస్టమ్ కాలిక్యులేటర్ హెచ్చరిక లేకుండా ప్రారంభించబడుతుంది.
జూలై 6.2.5న విడుదలైన LibreOffice 1 నవీకరణలో ఈ దుర్బలత్వం నిశ్శబ్దంగా పరిష్కరించబడింది, అయితే, సమస్య పూర్తిగా తొలగించబడలేదు (మాక్రోల నుండి LibreLogoకి కాల్ చేయడం మాత్రమే బ్లాక్ చేయబడింది) మరియు
మూలం: opennet.ru