Een ernstig beveiligingslek in de kantoorsoftware LibreOffice maakte het mogelijk voor aanvallers om willekeurige code op systemen uit te voeren als de gebruiker een kwaadaardig ODT-document opende en met zijn muis over het document bewoog. OpenOffice is echter nog kwetsbaar.
Kwetsbaarheden waarbij het openen van een document volstaat om een systeem met malware te infecteren zijn de afgelopen jaren meerdere keren in Microsoft Office gevonden en aangevallen. Onderzoeker Alex Inführ ontdekte dat een soortgelijke aanval ook tegen de Linux- en Windows-versies van LibreOffice werkte. Het was mogelijk om kwaadaardige Python-code aan een document toe te voegen die automatisch werd uitgevoerd als de gebruiker met de muis over een hyperlink bewoog.
De Python-code kon vervolgens, in het geval van Windows, cmd.exe in combinatie met allerlei parameters aanroepen en zo lokaal code uitvoeren. Om het slachtoffer niets te laten vermoeden kan de hyperlink wit worden gemaakt, zodat die niet direct zichtbaar in het document is. De kwetsbaarheid werd op 18 oktober vorig jaar aan het LibreOffice-team gemeld. Twaalf dagen later was er een update aan de "daily builds" van de kantoorsoftware toegevoegd.
Inführ kreeg vervolgens toestemming om details over de kwetsbaarheid vanaf 31 januari 2019 openbaar te maken. Vandaag publiceerde de onderzoeker een blogposting over het beveiligingslek. De kwetsbaarheid is verholpen in Libreoffice 6.1.4.2 en Libreoffice: 6.0.7.
OpenOffice is echter nog steeds kwetsbaar. Toch kreeg Inführ toestemming om ook dit te melden. De proof-of-concept-aanval van de onderzoeker werkt niet tegen OpenOffice, maar de onderliggende kwetsbaarheid is wel aanwezig en kan nog steeds worden gebruikt om een Python-script vanaf een andere locatie op het lokale bestandssysteem uit te voeren. OpenOffice-gebruikers kunnen ondersteuning van Python echter uitschakelen door pythonscript.py in de installatiemap te verwijderen of te hernoemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.