В офісному пакеті LibreOffice виявлено вразливість (CVE-2019-9848), що дозволяє виконати код під час відкриття шкідливих документів
В офісному пакеті LibreOffice виявлено вразливість (CVE-2019-9848), що дозволяє виконати код при відкритті шкідливих документів
В офісному пакеті LibreOffice виявлено вразливість (CVE-2019-9848), яку можна використовувати для виконання довільного коду при відкритті документів, підготовлених зловмисником.
Уразливість викликана тим, що компонент LibreLogo, призначений для навчання програмування та вставки векторних малюнків, транслює свої операції в код мовою Python. Маючи можливість виконати інструкції LibreLogo зловмисник може домогтися виконання будь-якого коду мовою Python у контексті поточного сеансу користувача, скориставшись командою "run", що надається в LibreLogo. З Python за допомогою функції system(), у свою чергу, можна викликати довільні системні команди.
LibreLogo є опціональним компонентом, але в За замовчуванням LibreOffice пропонують макроси, які дають змогу викликати LibreLogo і не вимагають під час виконання підтвердження виконання операції і не відображають попередження, навіть при включенні режиму максимального захисту макросів (вибір рівня "Very High"). Для атаки можна прив'язати такий макрос до оброблювача події, який спрацьовує, наприклад, при наведенні курсору миші до певної області або активації фокусу введення на документі (подія onFocus). У результаті, при відкритті підготовленого атакуючим документа можна досягти прихованого виконання Python-коду, непомітно від користувача. Наприклад, у продемонстрованому прикладі експлоїту під час відкриття документа без попередження запускається системний калькулятор.
Вразливість без зайвого розголосу була усунена в оновленні LibreOffice 6.2.5, випущеному 1 липня, але, як виявилося, проблема була усунена не повністю (блокований лише виклик LibreLogo з макросів) і залишаються невиправленими деякі інші вектори для проведення атаки. Крім того, проблему не вирішено у випуску 6.1.6, рекомендованому для корпоративних користувачів. Повністю усунути вразливість планується у випуску LibreOffice 6.3, що очікується наступного тижня. До випуску повноцінного оновлення користувачам рекомендується відключити компонент LibreLogo, який за замовчуванням доступний у багатьох поставках. Частково вразливість усунена в Debian, Fedora, SUSE/openSUSE і Ubuntu.
