کاربران باید مراقب باشند که چه فایلهایی را بااستفاده از نرمافزار LibraOffice باز میکنند، زیرا این نرمافزار حاوی یک آسیبپذیری اجرای کد شدید است که هنوز وصله نشده است و میتواند به محض باز کردن یک سند مخرب بدافزار را وارد سیستم کاربر کند.
مجموعهی LibraOffice یکی از جایگزینهای محبوب و متنباز برای مایکروسافت آفیس است و برای سیستمهای ویندوز، لینوکس و macOS در دسترس است. الکس اینفور، پژوهشگر امنیتی، ادعا میکند که در اوایل ماه جاری، LibraOffice آخرین نسخهی ۶٫۲٫۵ نرمافزار خود را منتشر کرد که دو آسیبپذیری شدید (CVE-2019-9848 و CVE-2019-9848) را رفع میکند، اما درحالحاضر وصلهی قبلی دور زده میشود. اگرچه اینفور هنوز جزئیات روش دور زدن این وصله را منتشر نکرده است، اما تأثیر این آسیبپذیری همانطور که در ادامه توضیح داده شده، باقی مانده است.
- CVE-2019-9848: این آسیبپذیری که هنوز هم در آخرین نسخه وجود دارد، در LiberLogo که یک اسکریپت گرافیکی قابل برنامهریزی است و بهطور پیشفرض با LiberOffice ارسال میشود، وجود دارد. LiberLogo به کاربران اجازه میدهد تا اسکریپتهای از پیش نصبشده در یک سند را که میتواند در رویدادهای مختلف مانند mouse-over اجرا شود، مشخص کنند. این آسیبپذیری به یک مهاجم اجازه میدهد تا یک سند مخرب ایجاد کند که میتواند بهطور مخفیانه دستورات پایتون دلخواه را بدون نمایش هیچ هشداری به کاربر هدف اجرا کند.
مشکل این است که کد بهخوبی ترجمه نشده است. بااستفاده از فرمها و رویداد OnFocus، امکان دارد هنگام باز شدن سند و بدون نیاز به یک رویداد mouse-over این کد اجرا شود. Nils Emmerich این آسیبپذیری را کشف و یک اثبات مفهومی برای این حمله منتشر کرد.
- CVE-2019-9849: این آسیبپذیری که با نصب آخرین بهروزرسانی موجود میتوان آن را رفع کرد، امکان وارد شدن محتوای دلخواه به یک سند بهصورت از راه دور را فراهم میکند حتی درصورتیکه stealth mode فعال باشد. stealth mode بهطور پیشفرض فعال نیست، اما کاربران میتوانند آن را فعال کنند تا اسناد را برای بازیابی منابع راه دور از مکانهای قابل اعتماد تنظیم کنند.
اینفور قبلاً دربارهی مسألهی دور زدن به گروه LiberOfiice هشدار داده است، اما تازمانیکه این گروه وصلهای برای رفع مسألهی دور زدن منتشر کند، به کاربران توصیه میشود تا این نرمافزار را بهروزرسانی کنند و یا بدون ماکروها یا حداقل بدون مؤلفهی LiberLogo آن را مجدداً نصب کنند.