LibreOffice ఆఫీస్ సూట్లో దుర్బలత్వం (), దాడి చేసేవారు తయారుచేసిన పత్రాలను తెరిచేటప్పుడు ఏకపక్ష కోడ్ని అమలు చేయడానికి ఉపయోగించవచ్చు.
ప్రోగ్రామింగ్ను బోధించడం మరియు వెక్టర్ డ్రాయింగ్లను చొప్పించడం కోసం రూపొందించబడిన LibreLogo భాగం, దాని కార్యకలాపాలను పైథాన్ కోడ్లోకి అనువదించడం వల్ల ఈ దుర్బలత్వం ఏర్పడింది. LibreLogo సూచనలను అమలు చేయగల సామర్థ్యంతో, దాడి చేసే వ్యక్తి LibreLogoలో అందించిన "రన్" ఆదేశాన్ని ఉపయోగించడం ద్వారా ప్రస్తుత వినియోగదారు సెషన్ సందర్భంలో ఏదైనా పైథాన్ కోడ్ని అమలు చేయగలడు. పైథాన్ నుండి, సిస్టమ్() ఫంక్షన్ ఉపయోగించి, మీరు ఏకపక్ష సిస్టమ్ ఆదేశాలను కాల్ చేయవచ్చు.
LibreLogo అనేది ఒక ఐచ్ఛిక భాగం, కానీ LibreOffice డిఫాల్ట్గా మాక్రోలను అందిస్తుంది, ఇది LibreLogoకి కాల్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు ఆపరేషన్ యొక్క నిర్ధారణ అవసరం లేదు మరియు గరిష్ట స్థూల రక్షణ మోడ్ ప్రారంభించబడినప్పుడు కూడా హెచ్చరికను ప్రదర్శించవద్దు (“వెరీ హై” స్థాయిని ఎంచుకోవడం )
దాడి చేయడానికి, మీరు ట్రిగ్గర్ చేయబడిన ఈవెంట్ హ్యాండ్లర్కి అటువంటి స్థూలాన్ని బంధించవచ్చు, ఉదాహరణకు, మౌస్ కర్సర్ నిర్దిష్ట ప్రాంతంపై ఉంచబడినప్పుడు లేదా పత్రంపై ఇన్పుట్ ఫోకస్ సక్రియం చేయబడినప్పుడు (onFocus ఈవెంట్). ఫలితంగా, దాడి చేసే వ్యక్తి తయారుచేసిన పత్రాన్ని తెరిచినప్పుడు, వినియోగదారుకు తెలియకుండా పైథాన్ కోడ్ యొక్క దాచిన అమలును సాధించడం సాధ్యమవుతుంది. ఉదాహరణకు, దోపిడీ ఉదాహరణలో, పత్రాన్ని తెరిచేటప్పుడు, సిస్టమ్ కాలిక్యులేటర్ హెచ్చరిక లేకుండా ప్రారంభించబడుతుంది.
జూలై 6.2.5న విడుదలైన LibreOffice 1 నవీకరణలో ఈ దుర్బలత్వం నిశ్శబ్దంగా పరిష్కరించబడింది, అయితే, సమస్య పూర్తిగా తొలగించబడలేదు (మాక్రోల నుండి LibreLogoకి కాల్ చేయడం మాత్రమే బ్లాక్ చేయబడింది) మరియు కొన్ని ఇతర దాడి వెక్టర్స్. అదనంగా, సమస్య 6.1.6 విడుదలలో పరిష్కరించబడలేదు, ఇది ఎంటర్ప్రైజ్ వినియోగదారుల కోసం సిఫార్సు చేయబడింది. వచ్చే వారం ఆశించిన LibreOffice 6.3 విడుదలలో ఈ దుర్బలత్వాన్ని పూర్తిగా పరిష్కరించాలని ప్లాన్ చేయబడింది. పూర్తి నవీకరణ విడుదలయ్యే వరకు, వినియోగదారులు చాలా పంపిణీలలో డిఫాల్ట్గా అందుబాటులో ఉండే LibreLogo కాంపోనెంట్ను స్పష్టంగా నిలిపివేయమని సలహా ఇస్తారు. దుర్బలత్వం పాక్షికంగా పరిష్కరించబడింది , , и .
మూలం: opennet.ru