Nesen tika atklāta kļūda, kas atrasta populārajā LibreOffice biroja komplektā šī ievainojamība tika katalogizēta CVE-2019-9848. Šī vaina atrada se var izmantot patvaļīga koda izpildei, atverot iepriekš sagatavotus dokumentus ļaunprātīga persona, un pēc tam tos galvenokārt izplata un gaida, kamēr cietušais izpildīs šos dokumentus.
Neaizsargātība izraisa fakts, ka LibreLogo komponents, dMērķis ir iemācīt programmēt un ievietot vektoru rasējumus, tā pārvērš savas darbības Python kodā. Spējot izpildīt LibreLogo instrukcijas, uzbrucējs var izpildīt jebkuru Python kodu pašreizējās lietotāja sesijas kontekstā, izmantojot LibreLogo sniegto komandu "palaist". Izmantojot Python, izmantojot sistēmu (), savukārt jūs varat izsaukt patvaļīgas sistēmas komandas.
Kā aprakstīja persona, kas ziņoja par šo kļūdu:
Makro, kas piegādāts kopā ar LibreOffice, darbojas, nelūdzot lietotāju, pat ar visaugstākajiem makro drošības iestatījumiem. Tāpēc, ja būtu LibreOffice sistēmas makro ar kļūdu, kas ļauj kodam izpildīt, lietotājs pat nesaņemtu brīdinājumu un kods tiktu izpildīts nekavējoties.
Par nolēmumu
LibreLogo ir izvēles komponents, taču LibreOffice makro pēc noklusējuma tiek piedāvāti, ļaujot piezvanīt LibreLogo un neprasa operācijas apstiprinājumu un neparāda brīdinājumu, pat tad, ja ir iespējots makro maksimālais aizsardzības režīms (atlasot līmeni “Ļoti augsts”).
Uzbrukumam varat pievienot šādu makro notikumu apstrādātājam, kas izšauj, piemēram, novietojot peles kursoru virs noteikta apgabala vai aktivizējot ievades fokusu uz dokumentu (onFocus notikums).
Lielā problēma šeit ir tā, ka kods nav labi iztulkots un nodrošina tikai pitona kodu, jo pēc tulkojuma skripta kods bieži rada vienu un to pašu kodu.
Rezultātā, atverot uzbrucēja sagatavotu dokumentu, jūs varat sasniegt slēptu, lietotājam neredzamu Python koda izpildi.
Piemēram, parādītajā izmantošanas piemērā, atverot dokumentu bez brīdinājuma, tiek palaists sistēmas kalkulators.
Un tas nav pirmā ziņotā kļūda, kurā tiek izmantoti notikumi biroja komplektā kopš pirms mēnešiem tika paziņots par citu gadījumu, kur 6.1.0-6.1.3.1 versijās ir parādīts, ka koda ievadīšana ir iespējams Linux un Windows versijās, kad lietotājs novieto peles kursoru virs ļaunprātīga URL.
Tā kā ievainojamība tika izmantota tāpat, tā neradīja nekāda veida brīdinājuma dialoglodziņus. Tiklīdz lietotājs novieto peles kursoru virs ļaunprātīgā URL, kods nekavējoties tiek palaists.
No otras puses, Python izmantošana komplekta ietvaros ir atklājusi arī kļūdu izmantošanas gadījumus, kad komplekts izpilda patvaļīgu kodu bez ierobežojumiem un brīdinājumiem.
Tādējādi LibreOffice cilvēkiem ir liels uzdevums pārskatīt šo komplekta daļu, jo ir zināmi vairāki gadījumi, kas to izmanto.
Ievainojamība tika novērsta, nesniedzot sīkāku informāciju par to vai informāciju par to atjauninājumā 6.2.5 no LibreOffice, izlaists 1. jūlijā, taču izrādījās, ka problēma nav pilnībā atrisināta (tika bloķēts tikai LibreLogo zvans no makro) un daži citi vektori uzbrukuma veikšanai palika neizlaboti.
Tāpat problēma netiek atrisināta 6.1.6 versijā, kas ieteicama korporatīvajiem lietotājiem. Lai pilnībā novērstu ievainojamību, tiek plānots nākamnedēļ gaidāmajā LibreOffice 6.3 izlaidumā.
Pirms pilnīga atjauninājuma izlaišanas lietotājiem ieteicams skaidri atspējot LibreLogo komponentu, kas pēc noklusējuma ir pieejams daudzos paketēs. Daļēji novērsta ievainojamība Debian, Fedora, SUSE / openSUSE un Ubuntu.
Fuente: https://insinuator.net/