V LibreOffice lze spustit libovolný kód už při otevření dokumentu

Pavel Houser , 08. únor 2019 12:54 0 komentářů
Rubriky: Security

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší.

V LibreOffice byla objevena zranitelnost umožňující útočníkovi spuštění libovolného kódu. Zranitelnost (CVE-2018–16858) lze zneužít pouze zasláním škodlivého dokumentu ve formátu ODT.

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší. Na chybu upozornil bezpečnostní výzkumník Alex Inführ, je spojena se způsobem, jak mohou dokumenty ODT využívat předinstalovaná makra, podstatou zranitelnosti je pak možný directory traversal attack. Ten je možný v případě, že součástí balíku je i interpreter jazyka Python, což je ovšem případ běžné instalace LibreOffice. Dosud není známo, že by probíhaly aktivní pokusy o zneužití zranitelnosti a publikováno bylo pouze zneužití proof-of-concept, ale zneužití je jednoduché.

Zranitelná je verze pro Windows i Linux, opravené verze mají číslo 6.0.7 a 6.1.3. Stačilo zde nastavit, aby dokumenty mohly volat pouze skripty Pythonu v jednom konkrétním adresáři (předtím byla cesta určena relativně, což v důsledku umožňovalo právě průchod adresáři). Problém se týká i předchůdce LibreOffice, balíku OpenOffice.org/Apache Office, kde ale žádná záplata dosud k dispozici není. Zde má nejnovější verze číslo 4.1.6, vydána byla loni v listopadu.


Komentáře

RSS 

Komentujeme

Brexit a osobní data

Tomáš Jirásko , 17. únor 2019 06:30
Tomáš Jirásko

Blíží se Brexit přináší společnostem řadu komplikací a nejasností ohledně budoucnosti. Ať již dojde ...

Více







RSS 

Zprávičky

Představenstvo Seznam.cz opouští majitel a zakladatel firmy

Pavel Houser , 19. únor 2019 13:24

Ivo Lukačovič, majitel a zakladatel společnosti Seznam.cz, opouští pozici předsedy představenstva na...

Více 0 komentářů

Apple Pay přichází do ČR

ČTK , 19. únor 2019 13:02

Službu mohou využívat majitelé telefonů iPhone SE, iPhone 6 a novějších a hodinek Apple Watch....

Více 0 komentářů

Česko chce v Praze evropské středisko pro umělou inteligenci

ČTK , 19. únor 2019 09:00

EK plánuje na rozvoj technologií a průmyslu souvisejícího s umělou inteligencí v příštích 10 letech ...

Více 0 komentářů

Starší zprávičky

ČTÚ spojí aukce kmitočtů 700 MHz a 3,5 GHz do jedné soutěže

ČTK , 19. únor 2019 08:00

Proti původnímu záměru ministerstvo vnitra nezíská část nabízených kmitočtů na vybudování vlastní sí...

Více 0 komentářů

Další malware cílí na klienty bank v Česku

Pavel Houser , 18. únor 2019 12:21

Na české uživatele cílí další riziková aplikace která byla k dispozici v oficiálním obchodě Google ...

Více 0 komentářů

Británie zaujme vůči Huawei mírnější postoj

ČTK , 18. únor 2019 10:00

Bývalý šéf britské zpravodajské služby GCHQ Robert Hannigan uvedl, že "nikdy nenašli důkaz o škodliv...

Více 0 komentářů

Za evropský komunikační systém má odpovídat ministerstvo dopravy

ČTK , 18. únor 2019 09:00

Zřízení programu GOVSATCOM je jedním z hlavních cílů Kosmické strategie pro Evropu...

Více 0 komentářů