Et sikkerhedshul i LibreOffice og OpenOffice gør det muligt for hackere at gennemføre Remote Code Execution (RCE) angreb på de populære tekstbehandlingsprogrammer. Det eneste der kræves er en skræddersyet, skadelig ODT (OpenDocument Text) fil. Det skriver The Hacker News.
Sikkerhedsforskeren Alex Inführ fandt sikkerhedshullet i de to open source-tekstbehandlingsprogrammer ved at målrette sit angreb mod et indlejret Python bibliotek.
Selvom Inführ kun har demonstreret angrebet mod Windows-udgaven af de to programmer, formoder han, at det også vil være muligt mod en linux-maskine.
Sårbar Python fil
Filen pydoc.py. kommer som en del af både LibreOffice og OpenOffice, og den kan anvendes til at at eksekvere kommandoer direkte til systemets kommandolinje og konsol.
Ved at indlejre et hvidt hyperlink i en ODT fil og udnytte en on-mouse-over event, som aktiveres, når musepilen passerer det »usynlige« link, kan hackererens angreb gennemføres via en kommandolinje.
Problemet blev patchet i LibreOffice 6.0.7/6.1.3, men er OpenOffice er tilsyneladende stadig sårbart, selvom problemet blev indrapporteret i midt oktober.