Recientemente byla odhalena chyba nalezená v populární kancelářské sadě LibreOffice tato chyba zabezpečení byla katalogizována v CVE-2019-9848. Tato chyba byla nalezenaLze použít ke spuštění libovolného kódu při otevírání předem připravených dokumentů osobou se zlými úmysly a poté je v zásadě distribuovat a počkat, až oběť tyto dokumenty provede.
Zranitelnost je způsobeno skutečností, že komponenta LibreLogo, dJe určen k výuce programování a vkládání vektorových výkresů, převádí své operace do kódu Pythonu. Díky schopnosti vykonávat pokyny LibreLogo útočník může spustit libovolný kód Pythonu v kontextu aktuální relace uživatele pomocí příkazu „spustit“ uvedeného v LibreLogu. Z Pythonu zase pomocí system () můžete volat libovolné systémové příkazy.
Jak popisuje osoba, která nahlásila tuto chybu:
Makra, která jsou dodávána s LibreOffice, fungují bez vyzvání uživatele, a to i při nejvyšším nastavení zabezpečení maker. Pokud by tedy existovalo systémové makro LibreOffice s chybou umožňující spuštění kódu, uživatel by nedostal ani varování a kód by se spustil okamžitě.
O rozhodnutí
LibreLogo je volitelná součást, ale v LibreOffice jsou makra standardně nabízena, umožňující volání LibreLogo a nevyžadují potvrzení operace a nezobrazují varování, i když je povolen režim maximální ochrany pro makra (výběr úrovně „Velmi vysoká“).
U útoku můžete takové makro připojit k obslužné rutině události, která střílí, například když najedete myší nad určitou oblast nebo když aktivujete vstupní fokus na dokument (událost onFocus).
Velkým problémem zde je, že kód není dobře přeložen a poskytuje pouze kód pythonuprotože kód skriptu má po překladu často za následek stejný kód.
Výsledkem je, že když otevřete dokument připravený útočníkem, můžete dosáhnout skrytého spuštění kódu Pythonu, který je pro uživatele neviditelný.
Například v ukázce zneužití, když otevřete dokument bez varování, spustí se systémová kalkulačka.
A ne první hlášená chyba, při které jsou události využívány v kancelářském balíčku od roku před měsíci byl oznámen další případ, kdy ve verzích 6.1.0-6.1.3.1 je ukázáno, že vložení kódu je možné ve verzích Linux a Windows, když uživatel umístí kurzor na škodlivou adresu URL.
Protože stejným způsobem, když byla chyba zabezpečení zneužita, nevygenerovala žádný typ varovného dialogu. Jakmile uživatel umístí ukazatel myši na škodlivou adresu URL, spustí se kód okamžitě.
Na druhou stranu použití Pythonu v sadě odhalilo také případy zneužití chyb, kdy sada spouští libovolný kód bez omezení a varování.
Díky tomu mají lidé LibreOffice velký úkol tuto část v sadě zkontrolovat, protože existuje několik známých případů, které to využívají.
Chyba zabezpečení byla opravena bez bližších podrobností o tom nebo o informacích o tom v aktualizaci 6.2.5 od LibreOffice, vydané 1. července, ale ukázalo se, že problém nebyl zcela vyřešen (blokováno bylo pouze volání LibreLogo z maker) a některé další vektory k provedení útoku zůstaly neopravené.
Problém také není vyřešen ve verzi 6.1.6 doporučené pro podnikové uživatele. Úplné odstranění této chyby zabezpečení je plánováno ve verzi LibreOffice 6.3, která se očekává příští týden.
Před vydáním úplné aktualizace se uživatelům doporučuje, aby explicitně deaktivovali komponentu LibreLogo, která je ve výchozím nastavení k dispozici v mnoha balíčcích. Částečně opravena chyba zabezpečení v systémech Debian, Fedora, SUSE / openSUSE a Ubuntu.
zdroj: https://insinuator.net/