Alvorlige sikkerhedsbrist fundet i LibreOffice og Apache OpenOffice

Illustration: Virrage Images/Bigstock
En indlejret Python fil muliggør angreb på LibreOffice og OpenOffice. LibreOffice er patchet, men OpenOffice er stadig sårbar.

Et sikkerhedshul i LibreOffice og OpenOffice gør det muligt for hackere at gennemføre Remote Code Execution (RCE) angreb på de populære tekstbehandlingsprogrammer. Det eneste der kræves er en skræddersyet, skadelig ODT (OpenDocument Text) fil. Det skriver The Hacker News.

Sikkerhedsforskeren Alex Inführ fandt sikkerhedshullet i de to open source-tekstbehandlingsprogrammer ved at målrette sit angreb mod et indlejret Python bibliotek.

Selvom Inführ kun har demonstreret angrebet mod Windows-udgaven af de to programmer, formoder han, at det også vil være muligt mod en linux-maskine.

Sårbar Python fil

Filen pydoc.py. kommer som en del af både LibreOffice og OpenOffice, og den kan anvendes til at at eksekvere kommandoer direkte til systemets kommandolinje og konsol.

Ved at indlejre et hvidt hyperlink i en ODT fil og udnytte en on-mouse-over event, som aktiveres, når musepilen passerer det »usynlige« link, kan hackererens angreb gennemføres via en kommandolinje.

Problemet blev patchet i LibreOffice 6.0.7/6.1.3, men er OpenOffice er tilsyneladende stadig sårbart, selvom problemet blev indrapporteret i midt oktober.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere