LibreOffice ofis to'plamida zaiflik (), tajovuzkor tomonidan tayyorlangan hujjatlarni ochishda o'zboshimchalik kodini bajarish uchun ishlatilishi mumkin.
Zaiflik dasturlashni o‘rgatish va vektor chizmalarini kiritish uchun mo‘ljallangan LibreLogo komponenti o‘z operatsiyalarini Python kodiga tarjima qilishi bilan bog‘liq. LibreLogo ko'rsatmalarini bajarish qobiliyatiga ega bo'lgan tajovuzkor LibreLogo-da taqdim etilgan "ishlash" buyrug'i yordamida joriy foydalanuvchi seansi kontekstida istalgan Python kodini ishga tushirishi mumkin. Python'dan system() funksiyasidan foydalanib, siz o'z navbatida ixtiyoriy tizim buyruqlarini chaqirishingiz mumkin.
LibreLogo ixtiyoriy komponent hisoblanadi, lekin LibreOffice sukut boʻyicha makroslarni taklif qiladi, ular LibreLogoga qoʻngʻiroq qilish imkonini beradi va operatsiyani tasdiqlashni talab qilmaydi va hatto maksimal soʻl himoya qilish rejimi yoqilgan boʻlsa ham (“Juda yuqori” darajasini tanlashda ogohlantirishni koʻrsatmaydi. ).
Hujum qilish uchun siz bunday makrosni ishga tushiriladigan voqea ishlovchisiga bog'lashingiz mumkin, masalan, sichqoncha kursorini ma'lum bir hududga olib kelganda yoki hujjatda kiritish fokusi faollashtirilganda (onFocus hodisasi). Natijada, tajovuzkor tomonidan tayyorlangan hujjatni ochishda foydalanuvchi bilmagan holda Python kodining yashirin bajarilishiga erishish mumkin. Misol uchun, ko'rsatilgan ekspluatatsiya misolida hujjat ochilganda tizim kalkulyatori ogohlantirishsiz ishga tushiriladi.
Zaiflik 6.2.5-iyulda chiqarilgan LibreOffice 1 yangilanishida jimgina tuzatilgan, biroq ma’lum bo‘lishicha, muammo to‘liq bartaraf etilmagan (faqat makroslardan LibreLogo-ga qo‘ng‘iroq qilish bloklangan) va ba'zi boshqa hujum vektorlari. Bundan tashqari, korxona foydalanuvchilari uchun tavsiya etilgan 6.1.6 versiyasida muammo hal etilmagan. Kelgusi hafta kutilayotgan LibreOffice 6.3 versiyasida zaiflik butunlay tuzatilishi rejalashtirilgan. To'liq yangilanish chiqarilgunga qadar foydalanuvchilarga ko'plab tarqatishlarda sukut bo'yicha mavjud bo'lgan LibreLogo komponentini aniq o'chirib qo'yish tavsiya etiladi. Zaiflik qisman tuzatildi , , и .
Manba: opennet.ru