ಇತ್ತೀಚೆಗೆ ಜನಪ್ರಿಯ ಲಿಬ್ರೆ ಆಫೀಸ್ ಆಫೀಸ್ ಸೂಟ್ನಲ್ಲಿ ಕಂಡುಬರುವ ದೋಷವನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ ಈ ದುರ್ಬಲತೆಯನ್ನು ಸಿವಿಇ -2019-9848 ರಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ. ಈ ದೋಷವು ಕಂಡುಬಂದಿದೆಪೂರ್ವ ಸಿದ್ಧಪಡಿಸಿದ ದಾಖಲೆಗಳನ್ನು ತೆರೆಯುವಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಇ ಅನ್ನು ಬಳಸಬಹುದು ದುರುದ್ದೇಶಪೂರಿತ ವ್ಯಕ್ತಿಯಿಂದ ಮತ್ತು ನಂತರ ಮೂಲತಃ ಅವುಗಳನ್ನು ವಿತರಿಸಿ ಮತ್ತು ಬಲಿಪಶು ಈ ದಾಖಲೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾಯಿರಿ.
ದುರ್ಬಲತೆ ಲಿಬ್ರೆಲೊಗೊ ಘಟಕ, ಡಿಪ್ರೋಗ್ರಾಮಿಂಗ್ ಅನ್ನು ಕಲಿಸಲು ಮತ್ತು ವೆಕ್ಟರ್ ರೇಖಾಚಿತ್ರಗಳನ್ನು ಸೇರಿಸಲು ಉದ್ದೇಶಿಸಿರುವ ಇದು ತನ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪೈಥಾನ್ ಕೋಡ್ಗೆ ಅನುವಾದಿಸುತ್ತದೆ. ಲಿಬ್ರೆಲೊಗೊ ಸೂಚನೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದುವ ಮೂಲಕ, ಆಕ್ರಮಣಕಾರರು ಯಾವುದೇ ಪೈಥಾನ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಪ್ರಸ್ತುತ ಬಳಕೆದಾರರ ಅಧಿವೇಶನದ ಸಂದರ್ಭದಲ್ಲಿ, ಲಿಬ್ರೆಲೊಗೊದಲ್ಲಿ ಒದಗಿಸಲಾದ "ರನ್" ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ. ಪೈಥಾನ್ನಿಂದ, ಸಿಸ್ಟಮ್ () ಅನ್ನು ಬಳಸಿಕೊಂಡು, ನೀವು ಅನಿಯಂತ್ರಿತ ಸಿಸ್ಟಮ್ ಆಜ್ಞೆಗಳನ್ನು ಕರೆಯಬಹುದು.
ಈ ದೋಷವನ್ನು ವರದಿ ಮಾಡಿದ ವ್ಯಕ್ತಿಯು ವಿವರಿಸಿದಂತೆ:
ಲಿಬ್ರೆ ಆಫೀಸ್ನೊಂದಿಗೆ ರವಾನೆಯಾಗುವ ಮ್ಯಾಕ್ರೋಗಳು ಹೆಚ್ಚಿನ ಮ್ಯಾಕ್ರೋ ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿಯೂ ಸಹ ಬಳಕೆದಾರರನ್ನು ಕೇಳದೆ ಚಲಿಸುತ್ತವೆ. ಆದ್ದರಿಂದ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುವ ದೋಷದೊಂದಿಗೆ ಲಿಬ್ರೆ ಆಫೀಸ್ ಸಿಸ್ಟಮ್ ಮ್ಯಾಕ್ರೋ ಇದ್ದರೆ, ಬಳಕೆದಾರರಿಗೆ ಎಚ್ಚರಿಕೆ ಕೂಡ ಸಿಗುವುದಿಲ್ಲ ಮತ್ತು ಕೋಡ್ ತಕ್ಷಣವೇ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ತೀರ್ಪಿನ ಬಗ್ಗೆ
ಲಿಬ್ರೆಲೊಗೊ ಐಚ್ al ಿಕ ಘಟಕವಾಗಿದೆ, ಆದರೆ ಲಿಬ್ರೆ ಆಫೀಸ್ ಮ್ಯಾಕ್ರೋಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನೀಡಲಾಗುತ್ತದೆ, ಲಿಬ್ರೆಲೊಗೊಗೆ ಕರೆ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ದೃ mation ೀಕರಣದ ಅಗತ್ಯವಿಲ್ಲ ಮತ್ತು ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸಬೇಡಿ, ಮ್ಯಾಕ್ರೋಗಳಿಗಾಗಿ ಗರಿಷ್ಠ ರಕ್ಷಣೆ ಮೋಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗಲೂ ಸಹ ("ತುಂಬಾ ಹೆಚ್ಚು" ಮಟ್ಟವನ್ನು ಆರಿಸುವುದು).
ಆಕ್ರಮಣಕ್ಕಾಗಿ, ನೀವು ಅಂತಹ ಮ್ಯಾಕ್ರೋವನ್ನು ಈವೆಂಟ್ ಹ್ಯಾಂಡ್ಲರ್ಗೆ ಬೆಂಕಿಯಂತೆ ಲಗತ್ತಿಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ನೀವು ನಿರ್ದಿಷ್ಟ ಪ್ರದೇಶದ ಮೇಲೆ ಮೌಸ್ ಅನ್ನು ಸುಳಿದಾಡಿದಾಗ ಅಥವಾ ಡಾಕ್ಯುಮೆಂಟ್ನ ಮೇಲೆ ಇನ್ಪುಟ್ ಫೋಕಸ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ (ಆನ್ಫೋಕಸ್ ಈವೆಂಟ್).
ಇಲ್ಲಿ ದೊಡ್ಡ ಸಮಸ್ಯೆ ಎಂದರೆ ಕೋಡ್ ಸರಿಯಾಗಿ ಅನುವಾದಗೊಂಡಿಲ್ಲ ಮತ್ತು ಪೈಥಾನ್ ಕೋಡ್ ಅನ್ನು ಮಾತ್ರ ಒದಗಿಸುತ್ತದೆಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಸಾಮಾನ್ಯವಾಗಿ ಅನುವಾದದ ನಂತರ ಒಂದೇ ಕೋಡ್ಗೆ ಕಾರಣವಾಗುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ನೀವು ಆಕ್ರಮಣಕಾರರು ಸಿದ್ಧಪಡಿಸಿದ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆದಾಗ, ಬಳಕೆದಾರರಿಗೆ ಅಗೋಚರವಾಗಿರುವ ಗುಪ್ತ ಪೈಥಾನ್ ಕೋಡ್ ಮರಣದಂಡನೆಯನ್ನು ನೀವು ಸಾಧಿಸಬಹುದು.
ಉದಾಹರಣೆಗೆ, ಪ್ರದರ್ಶಿಸಿದ ಶೋಷಣೆ ಉದಾಹರಣೆಯಲ್ಲಿ, ನೀವು ಎಚ್ಚರಿಕೆಯಿಲ್ಲದೆ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆದಾಗ, ಸಿಸ್ಟಮ್ ಕ್ಯಾಲ್ಕುಲೇಟರ್ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.
ಮತ್ತು ಅದು ಘಟನೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೊದಲ ವರದಿಯ ದೋಷವಲ್ಲ ರಿಂದ ಕಚೇರಿ ಸೂಟ್ನಲ್ಲಿ ತಿಂಗಳುಗಳ ಹಿಂದೆ 6.1.0-6.1.3.1 ಆವೃತ್ತಿಗಳಲ್ಲಿ ಮತ್ತೊಂದು ಪ್ರಕರಣವನ್ನು ಘೋಷಿಸಲಾಯಿತು ಎಂದು ತೋರಿಸಲಾಗಿದೆ ಕೋಡ್ ಇಂಜೆಕ್ಷನ್ ಆಗಿದೆ ಬಳಕೆದಾರರು ದುರುದ್ದೇಶಪೂರಿತ URL ಮೇಲೆ ಸುಳಿದಾಡಿದಾಗ ಲಿನಕ್ಸ್ ಮತ್ತು ವಿಂಡೋಸ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಸಾಧ್ಯ.
ದುರ್ಬಲತೆಯನ್ನು ದುರ್ಬಳಕೆ ಮಾಡಿದಾಗ ಅದೇ ರೀತಿಯಲ್ಲಿ, ಅದು ಯಾವುದೇ ರೀತಿಯ ಎಚ್ಚರಿಕೆ ಸಂವಾದವನ್ನು ರಚಿಸಲಿಲ್ಲ. ದುರುದ್ದೇಶಪೂರಿತ URL ಮೇಲೆ ಬಳಕೆದಾರರು ಮೌಸ್ ಅನ್ನು ಸುಳಿದಾಡಿದ ತಕ್ಷಣ, ಕೋಡ್ ತಕ್ಷಣವೇ ಚಲಿಸುತ್ತದೆ.
ಮತ್ತೊಂದೆಡೆ, ಸೂಟ್ನೊಳಗಿನ ಪೈಥಾನ್ ಬಳಕೆಯು ದೋಷಗಳ ಶೋಷಣೆಯ ಪ್ರಕರಣಗಳನ್ನು ಸಹ ಬಹಿರಂಗಪಡಿಸಿದೆ, ಅಲ್ಲಿ ಸೂಟ್ ನಿರ್ಬಂಧಗಳು ಅಥವಾ ಎಚ್ಚರಿಕೆಗಳಿಲ್ಲದೆ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ.
ಇದರೊಂದಿಗೆ, ಲಿಬ್ರೆ ಆಫೀಸ್ನ ಜನರು ಈ ಭಾಗವನ್ನು ಸೂಟ್ನಲ್ಲಿ ಪರಿಶೀಲಿಸಲು ಒಂದು ದೊಡ್ಡ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದ್ದಾರೆ ಏಕೆಂದರೆ ಇದರ ಲಾಭವನ್ನು ಪಡೆದುಕೊಳ್ಳಲು ಹಲವಾರು ತಿಳಿದಿರುವ ಪ್ರಕರಣಗಳಿವೆ.
ಹೆಚ್ಚಿನ ವಿವರಗಳನ್ನು ನೀಡದೆ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ ಅದರ ಬಗ್ಗೆ ಅಥವಾ ನವೀಕರಣದಲ್ಲಿ ಅದರ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಬಗ್ಗೆ ಲಿಬ್ರೆ ಆಫೀಸ್ನಿಂದ 6.2.5, ಜುಲೈ 1 ರಂದು ಬಿಡುಗಡೆಯಾಯಿತು, ಆದರೆ ಸಮಸ್ಯೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಹರಿಸಲಾಗಿಲ್ಲ ಎಂದು ತಿಳಿದುಬಂದಿದೆ (ಮ್ಯಾಕ್ರೋಗಳಿಂದ ಲಿಬ್ರೆಲೊಗೊ ಕರೆಯನ್ನು ಮಾತ್ರ ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ) ಮತ್ತು ದಾಳಿಯನ್ನು ನಡೆಸಲು ಇತರ ಕೆಲವು ವಾಹಕಗಳು ಸರಿಯಾಗಿಲ್ಲ.
ಅಲ್ಲದೆ, ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರಿಗೆ ಶಿಫಾರಸು ಮಾಡಲಾದ ಆವೃತ್ತಿ 6.1.6 ರಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗುವುದಿಲ್ಲ. ದುರ್ಬಲತೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ತೊಡೆದುಹಾಕಲು ಲಿಬ್ರೆ ಆಫೀಸ್ 6.3 ಬಿಡುಗಡೆಯಲ್ಲಿ ಯೋಜಿಸಲಾಗಿದೆ, ಇದನ್ನು ಮುಂದಿನ ವಾರ ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ.
ಪೂರ್ಣ ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಮೊದಲು, ಬಳಕೆದಾರರು ಲಿಬ್ರೆಲೊಗೊ ಘಟಕವನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸೂಚಿಸಲಾಗುತ್ತದೆ, ಇದು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಅನೇಕ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಲಭ್ಯವಿದೆ. ಡೆಬಿಯನ್, ಫೆಡೋರಾ, ಎಸ್ಯುಎಸ್ಇ / ಓಪನ್ಸುಸ್ ಮತ್ತು ಉಬುಂಟುಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಭಾಗಶಃ ಸರಿಪಡಿಸಲಾಗಿದೆ.