Ücretsiz ofis paketi LibreOffice'de, bir belgede özel olarak hazırlanmış bir bağlantıya tıklandığında veya bir belgeyle çalışırken belirli bir olay tetiklendiğinde rastgele komut dosyalarının yürütülmesine izin veren bir güvenlik açığı (CVE-2022-3140) belirlendi. Sorun LibreOffice 7.3.6 ve 7.4.1 güncellemelerinde düzeltildi.
Güvenlik açığı, LibreOffice'e özel ek bir makro çağırma şeması olan 'vnd.libreoffice.command' desteğinin eklenmesinden kaynaklanmaktadır. Bu şema aynı zamanda LibreOffice'i MS SharePoint sunucusuyla entegre etmek için kullanılan URI'larda da kullanılabilir. Saldırgan bu tür URI'leri, herhangi bir dahili makroyu rastgele argümanlarla çağıran bağlantılar oluşturmak için kullanabilir. Bir belgedeki bir olaya tıklandığında veya etkinleştirildiğinde, bu tür bağlantılar kullanıcıya herhangi bir uyarı göstermeden komut dosyalarını çalıştırmak için kullanılabilir.
Kaynak: opennet.ru