Een kwetsbaarheid in LibreOffice biedt kwaadwillenden de mogelijkheid om op afstand toegang te krijgen tot lokale bestanden van een gebruiker. De ontwikkelaars van het gratis verkrijgbare kantoorsoftwarepakket, dat is gebaseerd op OpenOffice.org, hebben dit recentelijk bekendgemaakt.
Het beveiligingslek is aanwezig in de Webservice-functie van LibreOffice Calc. Hiermee kan via een URL data in een document geladen worden, zoals van een programmeerinterface (API).
Remote URL
De versies van LibreOffice die deze kwetsbaarheid bevatten, laten Webservice lokale bestanden in een spreadsheet injecteren. Andere formules in het document hebben vervolgens de mogelijkheid om gebruik te maken van deze geïnjecteerde gegevens, en om een remote URL aan te maken. Lokaal geïnjecteerde gegevens worden daarbij doorgespeeld aan de kwaadwillende op afstand. Dit kan echter alleen als het slachtoffer een malafide document geopend heeft.
Updaten
“Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook te versturen. 100 procent succes en geheel onopgemerkt,” zegt Mikhail Klementev, één van de onderzoekers die het beveiligingsprobleem opspoorde. Hij voegt eraan toe dat deze kwetsbaarheid toegevoegd kan worden aan bijna alle formaten die LibreOffice ondersteunt. Hij adviseert om LibreOffice bij te werken naar versie 5.4.5 of 6.0.1.