Recientemente avalikustati populaarsest LibreOffice'i kontoripaketist leitud viga see haavatavus oli kataloogis CVE-2019-9848. See viga leidis se saab kasutada suvalise koodi käivitamiseks eelnevalt ettevalmistatud dokumentide avamisel pahatahtliku isiku poolt ja seejärel põhimõtteliselt neid levitama ning ootama, kuni ohver need dokumendid täidab.
Haavatavus on põhjustatud asjaolust, et LibreLogo komponent, dKavandatud õpetama programmeerimist ja sisestama vektorjooniseid, tõlgib see oma toimingud Pythoni koodiks. LibreLogo käskude täitmise võime abil ründaja saab käivitada mis tahes Pythoni koodi praeguse kasutaja seansi kontekstis, kasutades LibreLogo pakutavat käsku "run". Pythonis saate süsteemi () abil omakorda kutsuda suvalisi süsteemi käske.
Nagu veast teatanud isik kirjeldas:
LibreOffice'iga kaasas olevad makrosid töötavad kasutajalt viipamata, isegi makro kõrgeimate turvasätete korral. Nii et kui koodi käivitamisel oleks viga LibreOffice'i süsteemi makros, ei saaks kasutaja isegi hoiatust ja kood jookseks kohe.
Määruse kohta
LibreLogo on valikuline komponent, kuid LibreOffice'i makrosid pakutakse vaikimisi, lubades helistada LibreLogole ja ei vaja toimingu kinnitamist ega hoiatust, isegi kui makrode maksimaalne kaitserežiim on lubatud (valides taseme "Väga kõrge").
Rünnaku jaoks saate sellise makro lisada sündmuste käitlejale, mis käivitab, näiteks kui hõljutate hiirt kindla ala kohal või aktiveerite dokumendi sisendfookuse (onFocus sündmus).
Suur probleem on siin see, et koodi pole hästi tõlgitud ja see pakub ainult pythoni koodikuna skripti kood annab pärast tõlkimist sageli sama koodi.
Selle tulemusena võite ründaja koostatud dokumendi avades saavutada Pythoni koodi varjatud käivitamise, mis on kasutajale nähtamatu.
Näiteks näidatud ärakasutamise näites käivitub süsteemi kalkulaator, kui avate dokumendi hoiatamata.
Ja see mitte esimene teatatud viga, milles sündmusi kasutatakse aastast kontoripaketis kuud tagasi kuulutati välja veel üks juhtum, kus versioonides 6.1.0-6.1.3.1 on näidatud, et koodi sisestamine on võimalik Linuxi ja Windowsi versioonides, kui kasutaja viib kursori pahatahtliku URL-i kohale.
Kuna samal viisil kui haavatavust kasutati, ei tekitanud see ühtegi tüüpi hoiatusdialoogi. Niipea kui kasutaja viib hiire pahatahtliku URL-i kohale, jookseb kood kohe.
Teisest küljest on Pythoni kasutamine sviidi sees näidanud ka vigade ärakasutamise juhtumeid, kus komplekt käivitab meelevaldse koodi piirangute ja hoiatusteta.
Sellega on LibreOffice'i inimestel suur ülesanne see osa sviidis üle vaadata, kuna on teada mitu juhtumit, mis seda ära kasutavad.
Haavatavus parandati üksikasju täpsustamata selle kohta või värskenduses selle kohta käiva teabe kohta 6.2.5 ettevõttelt LibreOffice, mis vabastati 1. juulil, kuid selgus, et probleem ei olnud täielikult lahendatud (blokeeritud oli ainult makrode LibreLogo kõne) ja mõned teised rünnaku läbiviijad jäid parandamata.
Samuti pole probleemi lahendatud ärikasutajatele soovitatud versioonis 6.1.6. Haavatavuse täielik kõrvaldamine on kavas järgmisel nädalal eeldatavalt välja anda LibreOffice 6.3.
Enne täieliku värskenduse väljaandmist soovitatakse kasutajatel selgesõnaliselt keelata LibreLogo komponent, mis on vaikimisi saadaval paljudes pakettides. Parandas osaliselt Debiani, Fedora, SUSE / openSUSE ja Ubuntu haavatavuse.
allikas: https://insinuator.net/