சமீபத்தில் பிரபலமான லிப்ரெஃபிஸ் அலுவலக தொகுப்பில் ஒரு பிழை வெளியிடப்பட்டது இந்த பாதிப்பு CVE-2019-9848 இல் பட்டியலிடப்பட்டது. இந்த தவறு sமுன்பே தயாரிக்கப்பட்ட ஆவணங்களைத் திறக்கும்போது தன்னிச்சையான குறியீட்டை இயக்க பயன்படுத்தலாம் தீங்கிழைக்கும் நபரால், பின்னர் அவற்றை விநியோகித்து, பாதிக்கப்பட்டவர் இந்த ஆவணங்களை செயல்படுத்த காத்திருக்கவும்.
பாதிப்பு லிப்ரெலோகோ கூறு, dநிரலாக்கத்தைக் கற்பிப்பதற்கும், திசையன் வரைபடங்களைச் செருகுவதற்கும் நோக்கம் கொண்டது, இது அதன் செயல்பாடுகளை பைதான் குறியீடாக மொழிபெயர்க்கிறது. லிப்ரெலோகோ வழிமுறைகளை செயல்படுத்தும் திறனைக் கொண்டிருப்பதன் மூலம், தாக்குபவர் எந்த பைதான் குறியீட்டையும் இயக்க முடியும் தற்போதைய பயனர் அமர்வின் சூழலில், லிப்ரேலோகோவில் வழங்கப்பட்ட "ரன்" கட்டளையைப் பயன்படுத்தி. பைத்தானிலிருந்து, கணினி () ஐப் பயன்படுத்தி, நீங்கள் தன்னிச்சையான கணினி கட்டளைகளை அழைக்கலாம்.
இந்த பிழையைப் புகாரளித்த நபர் விவரித்தபடி:
மேக்ரோக்கள் அதிக மேக்ரோ பாதுகாப்பு அமைப்புகளில் கூட, பயனரைத் தூண்டாமல் லிப்ரே ஆஃபிஸுடன் அனுப்பப்படுகின்றன. எனவே குறியீட்டை இயக்க அனுமதிக்கும் பிழையுடன் லிப்ரே ஆபிஸ் சிஸ்டம் மேக்ரோ இருந்தால், பயனருக்கு ஒரு எச்சரிக்கை கூட கிடைக்காது, குறியீடு உடனடியாக இயங்கும்.
தீர்ப்பைப் பற்றி
லிப்ரேலோகோ ஒரு விருப்ப கூறு, ஆனால் லிப்ரே ஆபிஸ் மேக்ரோக்கள் முன்னிருப்பாக வழங்கப்படுகின்றன, லிப்ரேலோகோவை அழைக்க அனுமதிக்கிறது மற்றும் செயல்பாட்டை உறுதிப்படுத்த தேவையில்லை மற்றும் எச்சரிக்கையை காட்ட வேண்டாம், மேக்ரோக்களுக்கான அதிகபட்ச பாதுகாப்பு முறை இயக்கப்பட்டிருந்தாலும் கூட ("மிக உயர்ந்த" நிலையைத் தேர்ந்தெடுப்பது).
தாக்குதலுக்கு, இதுபோன்ற மேக்ரோவை ஒரு நிகழ்வு கையாளுபவருடன் இணைக்க முடியும், எடுத்துக்காட்டாக, நீங்கள் ஒரு குறிப்பிட்ட பகுதியில் சுட்டியை நகர்த்தும்போது அல்லது ஆவணத்தில் உள்ளீட்டு கவனத்தை செயல்படுத்தும்போது (onFocus event).
இங்கே பெரிய சிக்கல் என்னவென்றால், குறியீடு சரியாக மொழிபெயர்க்கப்படவில்லை மற்றும் பைதான் குறியீட்டை மட்டுமே வழங்குகிறதுஸ்கிரிப்ட் குறியீடு பெரும்பாலும் மொழிபெயர்ப்பின் பின்னர் அதே குறியீட்டில் விளைகிறது.
இதன் விளைவாக, தாக்குபவர் தயாரித்த ஆவணத்தை நீங்கள் திறக்கும்போது, பயனருக்கு கண்ணுக்கு தெரியாத பைத்தான் குறியீட்டை மறைத்து செயல்படுத்தலாம்.
எடுத்துக்காட்டாக, நிரூபிக்கப்பட்ட சுரண்டல் எடுத்துக்காட்டில், நீங்கள் எச்சரிக்கையின்றி ஒரு ஆவணத்தைத் திறக்கும்போது, கணினி கால்குலேட்டர் தொடங்குகிறது.
அதுதான் நிகழ்வுகள் சுரண்டப்படும் முதல் புகாரளிக்கப்பட்ட பிழை அல்ல அலுவலக தொகுப்பில் இருந்து மாதங்களுக்கு முன்பு 6.1.0-6.1.3.1 பதிப்புகளில் மற்றொரு வழக்கு அறிவிக்கப்பட்டது அது காட்டப்பட்டுள்ளது குறியீடு ஊசி ஒரு பயனர் தீங்கிழைக்கும் URL ஐ சுற்றி வரும்போது லினக்ஸ் மற்றும் விண்டோஸ் பதிப்புகளில் சாத்தியமாகும்.
பாதிப்பு சுரண்டப்பட்ட அதே வழியில், அது எந்த வகையான எச்சரிக்கை உரையாடலையும் உருவாக்கவில்லை. தீங்கிழைக்கும் URL மீது பயனர் சுட்டியை நகர்த்தியவுடன், குறியீடு உடனடியாக இயங்கும்.
மறுபுறம், தொகுப்பிற்குள் பைத்தானின் பயன்பாடு பிழைகள் சுரண்டப்படுவதையும் வெளிப்படுத்தியுள்ளது, அங்கு தொகுப்பு கட்டுப்பாடுகள் அல்லது எச்சரிக்கைகள் இல்லாமல் தன்னிச்சையான குறியீட்டை செயல்படுத்துகிறது.
இதன் மூலம், லிப்ரே ஆபிஸின் மக்கள் இந்த பகுதியை தொகுப்பில் மறுபரிசீலனை செய்ய ஒரு பெரிய பணியைக் கொண்டுள்ளனர், ஏனெனில் இதைப் பயன்படுத்த பல அறியப்பட்ட வழக்குகள் உள்ளன.
மேலும் விவரங்களை வழங்காமல் பாதிப்பு சரி செய்யப்பட்டது அதைப் பற்றி அல்லது புதுப்பிப்பில் அதைப் பற்றிய தகவல்களைப் பற்றி லிப்ரே ஆபிஸிலிருந்து 6.2.5, ஜூலை 1 அன்று வெளியிடப்பட்டது, ஆனால் பிரச்சினை முழுமையாக தீர்க்கப்படவில்லை (மேக்ரோக்களிலிருந்து லிப்ரெலோகோ அழைப்பு மட்டுமே தடுக்கப்பட்டது) மற்றும் தாக்குதலை நடத்துவதற்கான வேறு சில திசையன்கள் சரி செய்யப்படவில்லை.
மேலும், கார்ப்பரேட் பயனர்களுக்கு பரிந்துரைக்கப்பட்ட பதிப்பு 6.1.6 இல் சிக்கல் தீர்க்கப்படவில்லை. பாதிப்பை முற்றிலுமாக அகற்ற லிப்ரே ஆபிஸ் 6.3 வெளியீட்டில் திட்டமிடப்பட்டுள்ளது, இது அடுத்த வாரம் எதிர்பார்க்கப்படுகிறது.
ஒரு முழு புதுப்பிப்பு வெளியிடப்படுவதற்கு முன்பு, பயனர்கள் லிப்ரேலோகோ கூறுகளை வெளிப்படையாக முடக்க அறிவுறுத்தப்படுகிறார்கள், இது இயல்பாகவே பல தொகுப்புகளில் கிடைக்கிறது. டெபியன், ஃபெடோரா, SUSE / openSUSE மற்றும் உபுண்டு ஆகியவற்றில் பாதிப்பை ஓரளவு சரி செய்தது.