V LibreOffice lze spustit libovolný kód už při otevření dokumentu

Pavel Houser , 08. February 2019 12:54 0 komentářů
Rubriky: Security

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší.

V LibreOffice byla objevena zranitelnost umožňující útočníkovi spuštění libovolného kódu. Zranitelnost (CVE-2018–16858) lze zneužít pouze zasláním škodlivého dokumentu ve formátu ODT.

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší. Na chybu upozornil bezpečnostní výzkumník Alex Inführ, je spojena se způsobem, jak mohou dokumenty ODT využívat předinstalovaná makra, podstatou zranitelnosti je pak možný directory traversal attack. Ten je možný v případě, že součástí balíku je i interpreter jazyka Python, což je ovšem případ běžné instalace LibreOffice. Dosud není známo, že by probíhaly aktivní pokusy o zneužití zranitelnosti a publikováno bylo pouze zneužití proof-of-concept, ale zneužití je jednoduché.

Zranitelná je verze pro Windows i Linux, opravené verze mají číslo 6.0.7 a 6.1.3. Stačilo zde nastavit, aby dokumenty mohly volat pouze skripty Pythonu v jednom konkrétním adresáři (předtím byla cesta určena relativně, což v důsledku umožňovalo právě průchod adresáři). Problém se týká i předchůdce LibreOffice, balíku OpenOffice.org/Apache Office, kde ale žádná záplata dosud k dispozici není. Zde má nejnovější verze číslo 4.1.6, vydána byla loni v listopadu.


Komentáře

RSS 

Komentujeme

Chvála černých skřínek

Pavel Houser , 20. April 2019 10:30

Umělé inteligenci, respektive strojovému učení, se poslední dobou často vytýká, že nikdo přesně neví...

Více

Kalendář

14. 05.

17. 05.
FESPA 2019
16. 05. Document Management Conference 2019
19. 05.

23. 05.
IEEE SP 2019







RSS 

Zprávičky

Snapchatu vzrostl počet uživatelů, firma snížila ztrátu

ČTK , 24. April 2019 09:28

Firma snížila svou ztrátu o 20 % na 310 milionů dolarů....

Více 0 komentářů

Twitter zvýšil zisk i tržby, překvapivě vzrostl i počet uživatelů

ČTK , 24. April 2019 09:00

Tržby firmy se v prvním kvartálu zvýšily o 18 % na 787 milionů dolarů....

Více 0 komentářů

Dražba frekvencí pro síť 5G zatím v SRN vynesla 5,4 miliardy eur

ČTK , 24. April 2019 08:00

Spolková republika v nynější aukci draží licence k celkem 41 frekvenčním blokům v pásmech okolo 2000...

Více 0 komentářů

Starší zprávičky

Kritická komunikace na nízkofrekvenční LTE

Pavel Houser , 23. April 2019 13:23

Nordic Telecom a Nokia spouštějí v Česku první LTE síť na světě pro kritickou komunikaci v pásmu 410...

Více 0 komentářů

Nejvyšší kontrolní úřad: Generální finanční ředitelství porušilo rozpočtovou kázeň za 428 milionů Kč

Pavel Houser , 23. April 2019 09:55

IS ADIS provozuje finanční správa už od roku 1993, a jedná se tak podle NKÚ o jeden z nejzastaralejš...

Více 0 komentářů

Samsung odložil zahájení prodeje ohebného telefonu Galaxy Fold

ČTK , 23. April 2019 09:00

Zprávy o závadách displeje nového telefonu vyvolaly vzpomínky na Samsung Galaxy Note 7....

Více 0 komentářů

Huawei navzdory tlaku USA výrazně zvýšila tržby

ČTK , 23. April 2019 08:00

Čínský výrobce telekomunikačních zařízení Huawei v prvním čtvrtletí zvýšil tržby meziročně o 39 proc...

Více 0 komentářů