તાજેતરમાં લોકપ્રિય લિબરઓફીસ officeફિસ સ્યુટમાં મળી એક ભૂલ જાહેર થઈ આ નબળાઈને સીવીઇ -2019-9848 માં વર્ણવવામાં આવી હતી. આ દોષ એસઇ પૂર્વ-તૈયાર દસ્તાવેજો ખોલતી વખતે મનસ્વી કોડ ચલાવવા માટે વાપરી શકાય છે દૂષિત વ્યક્તિ દ્વારા અને પછી મૂળરૂપે તેમને વિતરિત કરો અને પીડિતા માટે આ દસ્તાવેજો ચલાવવા માટે રાહ જુઓ.
નબળાઇ લિબ્રેલોગો ઘટક, ડીપ્રોગ્રામિંગ શીખવવા અને વેક્ટર ડ્રોઇંગ દાખલ કરવાના હેતુથી, તે તેની કામગીરીને પાયથોન કોડમાં અનુવાદિત કરે છે. લિબ્રેલોગો સૂચનોને અમલમાં મૂકવાની ક્ષમતા ધરાવતા, આક્રમણ કરનાર કોઈપણ પાયથોન કોડ ચલાવી શકે છે વર્તમાન વપરાશકર્તા સત્રના સંદર્ભમાં, લિબ્રેલોગોમાં પ્રદાન થયેલ "રન" આદેશનો ઉપયોગ કરીને. પાયથોનથી, સિસ્ટમ () નો ઉપયોગ કરીને, બદલામાં, તમે મનસ્વી સિસ્ટમ આદેશોને ક callલ કરી શકો છો.
જેમણે આ ભૂલની જાણ કરી છે તે વ્યક્તિ દ્વારા વર્ણવેલ:
મેક્રોઝ, ઉચ્ચતમ મેક્રો સુરક્ષા સેટિંગ્સમાં પણ, વપરાશકર્તાને પૂછ્યા વિના લીબરઓફિસ સાથે ચલાવવામાં આવે છે. તેથી જો ત્યાં કોઈ લીબર ffફિસ સિસ્ટમ મcક્રો હતી જેમાં કોડ ચલાવવા માટે પરવાનગી આપવામાં આવી, તો વપરાશકર્તાને ચેતવણી પણ નહીં મળે અને કોડ તરત જ ચાલશે.
ચુકાદા વિશે
લિબ્રેલોગો એ વૈકલ્પિક ઘટક છે, પરંતુ લીબરઓફીસમાં મેક્રોઝ ડિફ defaultલ્ટ રૂપે ઓફર કરવામાં આવે છે, લિબ્રેલોગો પર ક .લ કરવાની મંજૂરી અને theપરેશનની પુષ્ટિ કરવાની જરૂર નથી અને ચેતવણી દર્શાવશો નહીં, જ્યારે મેક્રોઝ માટે મહત્તમ સંરક્ષણ મોડ સક્ષમ હોય ત્યારે પણ ("ખૂબ જ ઉચ્ચ" સ્તર પસંદ કરવું).
કોઈ હુમલા માટે, તમે ઇવેન્ટ હેન્ડલરથી આગ લગાવે તેવા મેક્રોને જોડી શકો છો, ઉદાહરણ તરીકે, જ્યારે તમે કોઈ ચોક્કસ વિસ્તાર પર માઉસ હોવર કરો છો અથવા જ્યારે તમે દસ્તાવેજ પર ઇનપુટ ફોકસને સક્રિય કરો છો (ઓનફોકસ ઇવેન્ટ).
અહીં મોટી સમસ્યા એ છે કે કોડ સારી રીતે અનુવાદિત નથી અને ફક્ત અજગર કોડ પ્રદાન કરે છે, કારણ કે સ્ક્રિપ્ટ કોડ વારંવાર ભાષાંતર પછી સમાન કોડમાં પરિણમે છે.
પરિણામે, જ્યારે તમે કોઈ હુમલાખોર દ્વારા તૈયાર કરાયેલ દસ્તાવેજ ખોલો છો, ત્યારે તમે વપરાશકર્તા માટે અદ્રશ્ય, પાયથોન કોડનું છુપાયેલ અમલ પ્રાપ્ત કરી શકો છો.
ઉદાહરણ તરીકે, શોષણ ઉદાહરણમાં દર્શાવ્યું, જ્યારે તમે ચેતવણી વિના દસ્તાવેજ ખોલો છો, ત્યારે સિસ્ટમ કેલ્ક્યુલેટર શરૂ થાય છે.
અને તે છે પહેલો અહેવાલ બગ નથી જેમાં ઘટનાઓનું શોષણ કરવામાં આવે છે ત્યારથી .ફિસ સ્યુટમાં મહિનાઓ પહેલાં બીજો એક કિસ્સો બહાર આવ્યો હતો જ્યાં સંસ્કરણો 6.1.0-6.1.3.1 તે બતાવવામાં આવે છે કે કોડ ઈન્જેક્શન છે જ્યારે કોઈ વપરાશકર્તા દૂષિત URL પર માઉસને હોવર કરે છે ત્યારે લિનક્સ અને વિંડોઝ સંસ્કરણો પર શક્ય છે.
તે જ રીતે જ્યારે નબળાઈનો ઉપયોગ કરવામાં આવ્યો હતો, ત્યારે તે કોઈપણ પ્રકારનું ચેતવણી સંવાદ પેદા કરતું નથી. જલદી વપરાશકર્તા દૂષિત URL પર માઉસને ફરે છે, કોડ તરત જ ચાલે છે.
બીજી બાજુ, સ્યુટની અંદર પાયથોનના ઉપયોગથી ભૂલોના શોષણના કિસ્સા પણ બહાર આવ્યા છે જ્યાં સ્યૂટ કોઈ પ્રતિબંધ અથવા ચેતવણી વિના મનસ્વી કોડ ચલાવે છે.
આ સાથે, લીબરઓફીસના લોકોએ સ્વીટમાં આ ભાગની સમીક્ષા કરવાનું મહાન કાર્ય કર્યું છે કારણ કે ઘણા જાણીતા કિસ્સાઓ છે જેનો લાભ લે છે.
વધુ વિગતો આપ્યા વિના નબળાઈને ઠીક કરવામાં આવી હતી તેના વિશે અથવા અપડેટમાં તેના વિશેની માહિતી વિશે .6.2.5.૨..XNUMX લિબ્રેઓફિસથી, જુલાઈ 1 ના રોજ પ્રકાશિત, પરંતુ તે બહાર આવ્યું કે સમસ્યા સંપૂર્ણપણે હલ થઈ નથી (ફક્ત મrosક્રોઝનો લિબ્રેલોગો ક callલ અવરોધિત કરવામાં આવ્યો હતો) અને હુમલો કરવા માટેના કેટલાક અન્ય વેક્ટર્સ ગેરવાજબી રહ્યા હતા.
ઉપરાંત, કોર્પોરેટ વપરાશકર્તાઓ માટે ભલામણ કરેલ સંસ્કરણ 6.1.6 માં સમસ્યા હલ થઈ નથી. નબળાઈને સંપૂર્ણપણે દૂર કરવા માટે, લીબરઓફીસ 6.3 ના પ્રકાશનમાં આયોજન કરવામાં આવ્યું છે, જે આવતા અઠવાડિયે અપેક્ષિત છે.
સંપૂર્ણ અપડેટ પ્રકાશિત થાય તે પહેલાં, વપરાશકર્તાઓને સ્પષ્ટપણે લિબ્રેલોગો ઘટકને અક્ષમ કરવાની સલાહ આપવામાં આવે છે, જે ડિફ defaultલ્ટ રૂપે ઘણાં પેકેજોમાં ઉપલબ્ધ છે. નબળાઈને અંશત De ડેબિયન, ફેડોરા, સુસ / ઓપનસુઝ અને ઉબુન્ટુમાં ઠીક કરવામાં આવી હતી.
સ્રોત: https://insinuator.net/