अलीकडे लोकप्रिय लिबर ऑफिस कार्यालयातील बग सापडला सीव्हीई -2019-9848 मध्ये या असुरक्षाचे वर्णन केले गेले. हा दोष आढळला एसई-तयार कागदपत्रे उघडताना अनियंत्रित कोड कार्यान्वित करण्यासाठी वापरला जाऊ शकतो दुर्भावनायुक्त व्यक्तीद्वारे आणि नंतर मुळात ते वितरित करा आणि पीडिताची ही कागदपत्रे अंमलात आणण्याची प्रतीक्षा करा.
असुरक्षितता लिबरलोगो घटक, डीप्रोग्रामिंग शिकवण्याच्या उद्देशाने आणि वेक्टर रेखाचित्र घालण्याचा हेतू, तो ऑपरेशन्स पायथन कोडमध्ये अनुवादित करतो. लिबरलोगो सूचना अंमलात आणण्याची क्षमता असल्यास, आक्रमणकर्ता कोणताही पायथन कोड कार्यान्वित करू शकतो सध्याच्या युजर सेशनच्या संदर्भात, लिबरलोगो मध्ये प्रदान केलेली "रन" कमांड वापरुन. पायथनमधून, सिस्टम () वापरुन, आपण अनियंत्रित सिस्टम आज्ञा कॉल करू शकता.
ज्याने हा दोष नोंदविला त्या व्यक्तीने वर्णन केलेलेः
उच्चतम मॅक्रो सुरक्षा सेटिंग्जवर देखील वापरकर्त्याला प्रॉम्प्ट न करता लिबर ऑफिससह मॅक्रो ने शिप केले. तर जर एखादा लिबर ऑफिस सिस्टम मॅक्रो असेल तर कोड चालविण्यास अनुमती देण्यात त्रुटी आली असेल तर वापरकर्त्यास चेतावणी देखील मिळणार नव्हती आणि कोड ताबडतोब चालू होईल.
निर्णयाबद्दल
लिबरलोगो हा एक पर्यायी घटक आहे, परंतु लिबर ऑफिसमध्ये मॅक्रोज डीफॉल्टनुसार ऑफर केली जातात, LibreLogo वर कॉल करण्यास परवानगी आणि ऑपरेशनची पुष्टीकरण आवश्यक नाही आणि चेतावणी प्रदर्शित करू नका, जरी मॅक्रोसाठी जास्तीत जास्त संरक्षण मोड सक्षम केला असेल ("खूप उच्च" स्तर निवडत आहे).
हल्ल्यासाठी, आपण अशा मॅक्रोला इव्हेंट हँडलरमध्ये जोडू शकतो जोडू शकतो, उदाहरणार्थ, जेव्हा आपण एखाद्या विशिष्ट क्षेत्रावर माउस फिरवता किंवा दस्तऐवजावर इनपुट फोकस सक्रिय करता (ऑनफोकस कार्यक्रम).
येथे मोठी समस्या ही आहे की कोड चांगल्या प्रकारे अनुवादित केलेला नाही आणि तो फक्त पायथन कोड प्रदान करतोजसे की स्क्रिप्ट कोड बहुधा अनुवादानंतर समान कोडमध्ये आढळतो.
याचा परिणाम म्हणून जेव्हा आपण आक्रमणकर्त्याने तयार केलेला कागदजत्र उघडता तेव्हा आपण वापरकर्त्यासाठी अदृश्य असलेल्या पायथन कोडची लपलेली अंमलबजावणी करू शकता.
उदाहरणार्थ, शोषण केलेल्या उदाहरणामध्ये, जेव्हा आपण चेतावणीशिवाय दस्तऐवज उघडता तेव्हा सिस्टम कॅल्क्युलेटर सुरू होते.
आणि ते आहे प्रथम नोंदविला गेलेला दोष नाही ज्यात कार्यक्रमांचे शोषण केले जाते मध्ये पासून कार्यालय सुट मध्ये काही महिन्यांपूर्वी आणखी एक प्रकरण जाहीर केले होते जेथे आवृत्ती 6.1.0-6.1.3.1 मध्ये आहे हे दर्शविले आहे की कोड इंजेक्शन आहे जेव्हा एखादी व्यक्ती दुर्भावनायुक्त URL वर फिरते तेव्हा लिनक्स आणि विंडोज आवृत्त्या वर शक्य.
अश्या प्रकारे असुरक्षिततेचा गैरफायदा घेतल्यामुळे, यामुळे कोणत्याही प्रकारचे चेतावणी संवाद तयार झाले नाहीत. वापरकर्त्याने दुर्भावनायुक्त यूआरएलवर माउस फिरविताच कोड त्वरित चालतो.
दुसरीकडे, सुटमध्ये पायथनच्या वापरामुळे बगांचे शोषण केल्याच्या घटनाही उघडकीस आल्या आहेत जेथे स्वीट निर्बंध किंवा चेतावणी न देता अनियंत्रित कोड चालविते.
यासह, लिबर ऑफिसच्या लोकांना सूटमध्ये या भागाचे पुनरावलोकन करणे खूप चांगले काम आहे कारण याचा फायदा घेणारी अनेक ज्ञात प्रकरणे आहेत.
अधिक माहिती न देता असुरक्षितता निश्चित केली गेली त्याबद्दल किंवा अद्यतनात त्याबद्दल माहितीबद्दल 6.2.5 लिबर ऑफिस वरुन, 1 जुलै रोजी सोडण्यात आले, परंतु हे निष्पन्न झाले की ही समस्या पूर्णपणे निराकरण झालेली नाही (केवळ मॅक्रोजकडून लिबरलोगो कॉल अवरोधित केला गेला होता) आणि हल्ला करण्यासाठी काही इतर वेक्टर्स अनिर्बंधित राहिले.
तसेच, कॉर्पोरेट वापरकर्त्यांसाठी शिफारस केलेल्या आवृत्ती 6.1.6 मध्ये समस्या निराकरण केलेली नाही. अशक्तपणा पूर्णपणे काढून टाकण्यासाठी लिबर ऑफिस 6.3 च्या प्रकाशनात नियोजित आहे, जे पुढील आठवड्यात अपेक्षित आहे.
संपूर्ण अद्यतन प्रकाशीत होण्यापूर्वी, वापरकर्त्यांना स्पष्टपणे लिबरलोगो घटक अक्षम करण्याचा सल्ला देण्यात आला आहे, जो डीफॉल्टनुसार बर्याच पॅकेजेसमध्ये उपलब्ध असतो. डेबियन, फेडोरा, सुस / ओपनस्यूएसई आणि उबंटू मधील असुरक्षितता अंशतः निश्चित केली.
स्त्रोत: https://insinuator.net/