พบช่องโหว่ (CVE-2022-3140) ในชุดโปรแกรม Office ฟรี LibreOffice ซึ่งอนุญาตให้เรียกใช้สคริปต์ที่กำหนดเองได้เมื่อมีการคลิกลิงก์ที่เตรียมไว้เป็นพิเศษในเอกสาร หรือเมื่อมีการกระตุ้นเหตุการณ์บางอย่างขณะทำงานกับเอกสาร ปัญหาได้รับการแก้ไขแล้วในการอัพเดต LibreOffice 7.3.6 และ 7.4.1
ช่องโหว่นี้เกิดจากการเพิ่มการสนับสนุนสำหรับรูปแบบการเรียกแมโครเพิ่มเติม 'vnd.libreoffice.command' เฉพาะสำหรับ LibreOffice รูปแบบนี้ยังสามารถใช้ใน URI ที่ใช้ในการรวม LibreOffice กับเซิร์ฟเวอร์ MS SharePoint ผู้โจมตีสามารถใช้ URI ดังกล่าวเพื่อสร้างลิงก์ที่เรียกมาโครภายในใดๆ ก็ตามที่มีข้อโต้แย้งตามอำเภอใจ เมื่อคลิกหรือเปิดใช้งานเหตุการณ์ในเอกสาร ลิงก์ดังกล่าวสามารถใช้เพื่อเรียกใช้สคริปต์โดยไม่ต้องแสดงคำเตือนแก่ผู้ใช้
ที่มา: opennet.ru