Recientemente bola zverejnená chyba nájdená v populárnom kancelárskom balíku LibreOffice táto chyba bola katalogizovaná v CVE-2019-9848. Táto chyba bola zistená sMôže sa použiť na vykonanie ľubovoľného kódu pri otváraní vopred pripravených dokumentov zlomyseľnou osobou a potom ich v podstate distribuovať a počkať, kým obeť tieto dokumenty vykoná.
Zraniteľnosť je spôsobené skutočnosťou, že súčasť LibreLogo, dJe určený na výučbu programovania a vkladania vektorových výkresov, prevádza svoje operácie do kódu Pythonu. Vďaka schopnosti vykonávať pokyny LibreLogo, útočník môže spustiť akýkoľvek kód Pythonu v kontexte aktuálnej relácie používateľa pomocou príkazu „spustiť“ uvedeného v LibreLogu. Z Pythonu zase pomocou system () môžete volať ľubovoľné systémové príkazy.
Podľa popisu osoby, ktorá nahlásila túto chybu:
Makrá, ktoré sa dodávajú s LibreOffice, fungujú bez vyzvania používateľa, a to aj pri najvyšších nastaveniach zabezpečenia makier. Ak by teda existovalo systémové makro LibreOffice s chybou umožňujúcou spustenie kódu, používateľ by nedostal ani varovanie a kód by bol vykonaný okamžite.
O rozsudku
LibreLogo je voliteľný komponent, ale v LibreOffice sú makrá predvolene ponúkané, umožňujúce volanie LibreLogo a nevyžadujú potvrdenie operácie a nezobrazujú varovanie, aj keď je povolený režim maximálnej ochrany pre makrá (výber úrovne „Veľmi vysoká“).
Pri útoku môžete takéto makro pripojiť k obslužnej rutine udalosti, ktorá vystrelí, napríklad keď umiestnite kurzor myši na konkrétnu oblasť alebo aktivujete vstupné zameranie na dokument (udalosť onFocus).
Veľkým problémom je, že kód nie je dobre preložený a poskytuje iba kód v jazyku pythonpretože kód skriptu vedie po preklade často k rovnakému kódu.
Výsledkom je, že keď otvoríte dokument pripravený útočníkom, môžete dosiahnuť skryté vykonanie kódu Pythonu, ktoré je pre používateľa neviditeľné.
Napríklad v demonštrovanom príklade zneužitia sa pri otvorení dokumentu bez varovania spustí systémová kalkulačka.
A nie prvá nahlásená chyba, pri ktorej sa využívajú udalosti v kancelárskom balíku od r pred mesiacmi bol ohlásený ďalší prípad, keď vo verziách 6.1.0-6.1.3.1 ukazuje sa, že vloženie kódu je vo verziách Linux a Windows je to možné, keď používateľ umiestni kurzor myši na škodlivú adresu URL.
Pretože rovnakým spôsobom, keď bola zraniteľnosť zneužitá, nevygenerovala žiadny typ varovného dialógu. Len čo používateľ umiestni kurzor myši na škodlivú adresu URL, kód sa okamžite spustí.
Na druhej strane, použitie Pythonu v rámci balíka tiež odhalilo prípady zneužitia chyby, keď balík vykonáva ľubovoľný kód bez obmedzení alebo varovaní.
Vďaka tomu majú obyvatelia LibreOffice veľkú úlohu skontrolovať túto časť v suite, pretože je známych niekoľko prípadov, ktoré to využívajú.
Zraniteľnosť bola opravená bez uvedenia ďalších podrobností o ňom alebo o informáciách o ňom v aktualizácii 6.2.5 od LibreOffice, vydané 1. júla, ale ukázalo sa, že problém nebol úplne vyriešený (blokované bolo iba volanie LibreLogo z makier) a niektoré ďalšie vektory na uskutočnenie útoku zostali neopravené.
Problém tiež nie je vyriešený vo verzii 6.1.6 odporúčanej pre firemných používateľov. Úplné odstránenie tejto zraniteľnosti sa plánuje vo vydaní LibreOffice 6.3, ktoré sa očakáva budúci týždeň.
Pred vydaním úplnej aktualizácie sa používateľom odporúča výslovne zakázať súčasť LibreLogo, ktorá je predvolene k dispozícii v mnohých balíkoch. Zraniteľnosť bola čiastočne opravená v systémoch Debian, Fedora, SUSE / openSUSE a Ubuntu.
Fuente: https://insinuator.net/