مفت آفس سوٹ LibreOffice میں ایک کمزوری (CVE-2022-3140) کی نشاندہی کی گئی ہے، جو کسی دستاویز میں خصوصی طور پر تیار کردہ لنک پر کلک کرنے یا دستاویز کے ساتھ کام کرنے کے دوران کوئی خاص واقعہ شروع ہونے پر صوابدیدی اسکرپٹس پر عمل درآمد کی اجازت دیتا ہے۔ مسئلہ LibreOffice 7.3.6 اور 7.4.1 اپ ڈیٹس میں حل کیا گیا تھا۔
یہ کمزوری ایک اضافی میکرو کالنگ اسکیم، 'vnd.libreoffice.command' کے لیے معاونت کے اضافے کی وجہ سے ہے، جو LibreOffice کے لیے مخصوص ہے۔ یہ اسکیم URIs میں بھی استعمال کی جا سکتی ہے جو LibreOffice کے ساتھ ضم کرنے کے لیے استعمال ہوتی ہے۔ سرور ایم ایس شیئرپوائنٹ۔ ایک حملہ آور ایسے URIs کا استعمال ایسے لنکس بنانے کے لیے کر سکتا ہے جو کسی بھی اندرونی میکرو کو صوابدیدی دلائل کے ساتھ کال کرتے ہیں۔ جب دستاویز میں کسی ایونٹ کے ذریعے کلک یا ایکٹیویٹ کیا جاتا ہے، تو اس طرح کے لنکس کو صارف کو انتباہ دکھائے بغیر اسکرپٹ چلانے کے لیے استعمال کیا جا سکتا ہے۔
ماخذ: opennet.ru
