Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом
Дата публикации:Thu, 13 Oct 2022 09:25:50 +0300
В свободном офисном пакете LibreOffice выявлена уязвимость (CVE-2022-3140), позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом. Проблема устранена в обновлениях LibreOffice 7.3.6 и 7.4.1.
Уязвимость вызвана добавлением поддержки дополнительной схемы вызова макросов 'vnd.libreoffice.command', специфичной для LibreOffice. Данную схему в том числе можно использовать в URI, применяемых для интеграции LibreOffice с сервером MS SharePoint. Атакующий может воспользоваться подобными URI для создания ссылок, вызывающих любые внутренние макросы с произвольными аргументами. При клике или активации по событию в документе подобные ссылки могут использоваться для запуска скриптов без вывода предупреждения пользователю.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=57910