V LibreOffice lze spustit libovolný kód už při otevření dokumentu

Pavel Houser , 08. únor 2019 12:54 0 komentářů
Rubriky: Security

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší.

V LibreOffice byla objevena zranitelnost umožňující útočníkovi spuštění libovolného kódu. Zranitelnost (CVE-2018–16858) lze zneužít pouze zasláním škodlivého dokumentu ve formátu ODT.

Do škodlivého dokumentu je vložen objekt, přes který dále stačí přejet myší. Na chybu upozornil bezpečnostní výzkumník Alex Inführ, je spojena se způsobem, jak mohou dokumenty ODT využívat předinstalovaná makra, podstatou zranitelnosti je pak možný directory traversal attack. Ten je možný v případě, že součástí balíku je i interpreter jazyka Python, což je ovšem případ běžné instalace LibreOffice. Dosud není známo, že by probíhaly aktivní pokusy o zneužití zranitelnosti a publikováno bylo pouze zneužití proof-of-concept, ale zneužití je jednoduché.

Zranitelná je verze pro Windows i Linux, opravené verze mají číslo 6.0.7 a 6.1.3. Stačilo zde nastavit, aby dokumenty mohly volat pouze skripty Pythonu v jednom konkrétním adresáři (předtím byla cesta určena relativně, což v důsledku umožňovalo právě průchod adresáři). Problém se týká i předchůdce LibreOffice, balíku OpenOffice.org/Apache Office, kde ale žádná záplata dosud k dispozici není. Zde má nejnovější verze číslo 4.1.6, vydána byla loni v listopadu.


Komentáře

RSS 

Komentujeme

Brexit a osobní data

Tomáš Jirásko , 17. únor 2019 06:30
Tomáš Jirásko

Blíží se Brexit přináší společnostem řadu komplikací a nejasností ohledně budoucnosti. Ať již dojde ...

Více







RSS 

Zprávičky

Německo je nakloněno účasti Huawei při budování sítí 5G

ČTK , 20. únor 2019 10:00

Německá vláda nyní nezávisle na kauze Huawei připravuje změny telekomunikačních zákonů. ...

Více 0 komentářů

Generální finanční ředitelství zrušilo tendr na daňový portál

ČTK , 20. únor 2019 09:00

Generální finanční ředitelství nyní pracuje na řešení, které neponese rizika soudních průtahů....

Více 0 komentářů

Aukce kmitočtů pro mobilní sítě láká investory z USA i Koreje

ČTK , 20. únor 2019 08:00

Češi platí podle analýzy Point Topic za 1 GB stažených dat přes mobilní sítě LTE nejvíce v Evropě....

Více 0 komentářů

Starší zprávičky

Představenstvo Seznam.cz opouští majitel a zakladatel firmy

Pavel Houser , 19. únor 2019 13:24

Ivo Lukačovič, majitel a zakladatel společnosti Seznam.cz, opouští pozici předsedy představenstva na...

Více 0 komentářů

Apple Pay přichází do ČR

ČTK , 19. únor 2019 13:02

Službu mohou využívat majitelé telefonů iPhone SE, iPhone 6 a novějších a hodinek Apple Watch....

Více 0 komentářů

Česko chce v Praze evropské středisko pro umělou inteligenci

ČTK , 19. únor 2019 09:00

EK plánuje na rozvoj technologií a průmyslu souvisejícího s umělou inteligencí v příštích 10 letech ...

Více 0 komentářů

ČTÚ spojí aukce kmitočtů 700 MHz a 3,5 GHz do jedné soutěže

ČTK , 19. únor 2019 08:00

Proti původnímu záměru ministerstvo vnitra nezíská část nabízených kmitočtů na vybudování vlastní sí...

Více 0 komentářů