Patch voor LibreOffice, kwetsbaarheid in OpenOffice

Via een ernstige kwetsbaarheid in de kantoorsoftware LibreOffice kunnen kwaadwillenden willekeurige code op systemen uitvoeren. Voorwaarde is dat de gebruiker een kwaadaardig ODT-document opent en met zijn muis over het document beweegt.

Eind vorige week publiceerde onderzoeker Alex Inführ details over het lek. De kwetsbaarheid in Libreoffice 6.1.4.2 en Libreoffice: 6.0.7. is gerepareerd.

Update voor LibreOffice

Kwetsbaarheden waarbij het openen van een document al tot een malware-infectie van het systeem leidt, zijn de laatste jaren regelmatig in Microsoft Office aangetroffen. Alex Inführ kwam erachter dat een dergelijke aanval ook mogelijk is tegen de Linux- en Windows-versies van LibreOffice. Een malafide Python-code kan aan een document toegevoegd worden, die automatisch wordt uitgevoerd wanneer de gebruiker met zijn muis over een hyperlink beweegt. Het LibreOffice-team werd hierover op 18 oktober 2018 geïnformeerd. Aan het eind van die maand was er een update aan de daily builds van de kantoorsoftware toegevoegd.

OpenOffice nog kwetsbaar

Onderzoeker Alex Inführ kreeg toestemming om een kwetsbaarheid in OpenOffice te melden. De proof-of-concept-aanval van hem werkt niet tegen OpenOffice. De onderliggende kwetsbaarheid is echter wel aanwezig en kan aangewend worden om een Python-script vanaf een andere locatie op het lokale bestandssysteem uit te voeren. OpenOffice-gebruikers kunnen ondersteuning van Python echter uitzetten door pythonscript.py in de installatiemap te verwijderen of door het een andere naam te geven.

Aanmelden voor onze nieuwsbrief