Недавно выявлена ошибка популярного офисного пакета LibreOffice эта уязвимость была занесена в каталог CVE-2019-9848. Эта ошибка обнаружена сe можно использовать для выполнения произвольного кода при открытии заранее подготовленных документов злоумышленником, а затем в основном их раздают и ждут, пока жертва оформит эти документы.
Уязвимость вызвано тем, что компонент LibreLogo, dПредназначенный для обучения программированию и вставки векторных рисунков, он переводит свои операции в код Python. Имея возможность выполнять инструкции LibreLogo, злоумышленник может выполнить любой код Python в контексте текущего пользовательского сеанса, используя команду «запустить», предоставленную в LibreLogo. В свою очередь, из Python с помощью system () можно вызывать произвольные системные команды.
Как описывает человек, сообщивший об этой ошибке:
Макросы, поставляемые с LibreOffice, запускаются без запроса пользователя даже при самых высоких настройках безопасности макросов. Таким образом, если существует системный макрос LibreOffice с ошибкой, разрешающей запуск кода, пользователь даже не получит предупреждения, и код будет запущен немедленно.
О постановлении
LibreLogo - необязательный компонент, но в LibreOffice макросы предлагаются по умолчанию, позволяет вызывать LibreLogo и не требуют подтверждения операции и не выводят предупреждения, даже при включенном режиме максимальной защиты макросов (выбор уровня «Очень высокий»).
Для атаки вы можете прикрепить такой макрос к срабатывающему обработчику событий, например, когда вы наводите указатель мыши на определенную область или активируете фокус ввода в документе (событие onFocus).
Большая проблема здесь в том, что код плохо транслируется и предоставляет только код Python.поскольку код сценария часто приводит к тому же коду после перевода.
В результате, открывая документ, подготовленный злоумышленником, вы можете добиться скрытого выполнения кода Python, невидимого для пользователя.
Например, в показанном примере эксплойта, когда вы открываете документ без предупреждения, запускается системный калькулятор.
И это не первая обнаруженная ошибка, в которой используются события в офисном пакете, так как в месяцев назад был объявлен еще один случай, когда в версиях 6.1.0-6.1.3.1 показано, что внедрение кода возможно в версиях для Linux и Windows, когда пользователь наводит курсор на вредоносный URL.
Поскольку точно так же, когда уязвимость была использована, она не генерировала никаких диалоговых окон с предупреждениями. Как только пользователь наводит указатель мыши на вредоносный URL-адрес, код запускается немедленно.
С другой стороны, использование Python в пакете также выявило случаи эксплуатации ошибок, когда пакет выполняет произвольный код без ограничений и предупреждений.
Таким образом, перед разработчиками LibreOffice стоит большая задача - просмотреть эту часть пакета, поскольку существует несколько известных случаев, в которых это используется.
Уязвимость исправлена, без подробностей. об этом или о информации об этом в обновлении 6.2.5 из LibreOffice, выпущенный 1 июля, но оказалось, что проблема не решена полностью (был заблокирован только вызов LibreLogo из макросов) и некоторые другие векторы для проведения атаки остались неисправленными.
Также проблема не решена в версии 6.1.6, рекомендованной для корпоративных пользователей. Полностью устранить уязвимость планируется в выпуске LibreOffice 6.3, который ожидается на следующей неделе.
Перед выпуском полного обновления пользователям рекомендуется явно отключить компонент LibreLogo, который по умолчанию доступен во многих пакетах. Частично исправлена уязвимость в Debian, Fedora, SUSE / openSUSE и Ubuntu.
источник: https://insinuator.net/