Recientemente razkrita napaka v priljubljeni pisarniški zbirki LibreOffice ta ranljivost je bila katalogizirana v CVE-2019-9848. Ta napaka je bila ugotovljena se se lahko uporablja za izvajanje poljubne kode pri odpiranju vnaprej pripravljenih dokumentov zlonamerna oseba, nato pa jih v bistvu razdeli in počaka, da žrtev izvrši te dokumente.
Ranljivost je posledica dejstva, da je komponenta LibreLogo, dNamenjen poučevanju programiranja in vstavljanju vektorskih risb, svoje operacije prevede v kodo Python. S sposobnostjo izvrševanja navodil LibreLogo, napadalec lahko izvrši katero koli kodo Pythona v kontekstu trenutne uporabniške seje z uporabo ukaza "zaženi" iz LibreLogo. Iz Pythona lahko z uporabo system () pokličete poljubne sistemske ukaze.
Kot je opisala oseba, ki je prijavila to napako:
Makroni, ki so dobavljeni z LibreOffice, se izvajajo brez poziva uporabnika, tudi pri najvišjih varnostnih nastavitvah makra. Če bi torej obstajal sistemski makro LibreOffice z napako, ki bi omogočila izvajanje kode, uporabnik ne bi prejel niti opozorila in koda bi bila takoj izvedena.
O razsodbi
LibreLogo je neobvezna komponenta, vendar so v LibreOffice makri privzeto na voljo, omogoča klicanje LibreLogo in ne zahtevajo potrditve postopka in ne prikazujejo opozorila, tudi če je omogočen način največje zaščite za makre (izbira stopnje "Zelo visoka").
Za napad lahko tak makro pritrdite na upravljalnik dogodkov, ki se sproži, na primer, ko miškin kazalec premaknete nad določeno območje ali aktivirate vnosni fokus na dokument (dogodek onFocus).
Tu je velika težava, da koda ni dobro prevedena in vsebuje samo kodo pythonker skriptna koda po prevodu pogosto povzroči isto kodo.
Kot rezultat, ko odprete dokument, ki ga pripravi napadalec, lahko dosežete skrito izvajanje kode Python, ki je uporabniku nevidna.
Na primer, v prikazanem primeru izkoriščanja se sistem, ko odprete dokument brez opozorila, zažene sistemski kalkulator.
In ni prva prijavljena napaka, v kateri se izkoriščajo dogodki v pisarniškem paketu od leta XNUMX pred meseci je bil razkrit še en primer, kjer je v različicah 6.1.0-6.1.3.1 je prikazano, da vbrizgavanje kode je možno v različicah Linux in Windows, ko uporabnik premakne miškin kazalec nad zlonamernim URL-jem.
Ker na enak način, ko je bila ranljivost izkoriščena, ni ustvarila nobenega tipa opozorilnega pogovornega okna. Takoj, ko uporabnik premakne miško nad zlonamerni URL, se koda zažene takoj.
Po drugi strani pa je uporaba Pythona znotraj zbirke razkrila tudi primere izkoriščanja napak, kjer paket izvaja poljubno kodo brez omejitev ali opozoril.
S tem imajo ljudje LibreOffice veliko nalogo, da pregledajo ta del v zbirki, saj obstaja več znanih primerov, ki to izkoriščajo.
Ranljivost je bila odpravljena brez dodatnih podrobnosti o tem ali o informacijah o njem v posodobitvi 6.2.5 iz LibreOffice, objavljeno 1. julija, vendar se je izkazalo, da težava ni bila popolnoma odpravljena (blokiran je bil le klic LibreLogo iz makrov) in nekateri drugi vektorji za izvedbo napada so ostali nepopravljeni.
Prav tako težava ni odpravljena v različici 6.1.6, ki je priporočljiva za poslovne uporabnike. Za popolno odpravo ranljivosti je načrtovana izdaja LibreOffice 6.3, ki bo predvidoma prihodnji teden.
Pred izdajo popolne posodobitve uporabnikom svetujemo, da izrecno onemogočijo komponento LibreLogo, ki je privzeto na voljo v številnih paketih. Ranljivost je bila delno odpravljena v Debianu, Fedori, SUSE / openSUSE in Ubuntu.