Bản vá cho hai lỗ hổng nghiêm trọng trên LibreOffice bị qua mặt – Cập nhật để vá lại

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 20/08/19, 02:08 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 366
    Đã được thích: 123
    Điểm thành tích:
    43
    LibreOffice vừa phát hành phiên bản mới nhất 6.2.6/6.3.0 để vá ba lỗ hổng cho phép hacker vượt qua bản vá dành cho hai lỗ hổng được xử lý trước đó

    Một trong hai lỗ hổng đó là CVE-2019-9848, lỗi thực thi mã từ xa ảnh hưởng đến LibreLogo, môi trường lập trình Python được mặc định đi kèm LibreOffice.
    libreoffice_update.jpg

    Tuy nhiên, bản vá cho lỗ hổng này không hiệu quả khi các nhà nghiên cứu vẫn có thể qua mặt bằng cách khai thác hai lỗ hổng mới:
    • CVE-2019-9850: tồn tại trong LibreOffice do xác thực không đúng URL, cho phép kẻ tấn công qua mặt cơ chế bảo vệ được bổ sung để vá lỗi CVE-2019-9848 trước đó, từ đó kích hoạt gọi LibreLogo từ trình xử lý script event.
    • CVE-2019-9851: nằm trong tính năng độc lập hỗ trợ file tài liệu xác định các đoạn script có sẵn có thể được thực thi trên các script event khác nhau của toàn hệ thống như mở tài liệu ...
    Trong khi đó, bản vá cho lỗ hổng thứ hai (CVE-2018-16858) được tung ra hồi tháng Hai cũng đã bị qua mặt thông qua khai thác lỗ hổng mới là CVE-2019-9852. Đây là một lỗi trong mã hóa URL, có thể cho phép kẻ tấn công qua mặt bản vá để khai thác directory traversal (cho phép hacker truy cập vào các thư mục và tập tin bất kỳ trên máy chủ).

    Nếu khai thác thành công tất cả các lỗ hổng này, kẻ tấn công từ xa có thể âm thầm thực thi các lệnh với mục đích xấu trên máy tính mục tiêu bằng cách thuyết phục nạn nhân mở một file tài liệu độc hại.

    Người dùng LibreOffice được khuyến cáo cần cập nhật phiên bản phần mềm mới nhất 6.2.6/6.3.0 ngay lập tức để tránh bị khai thác bởi các lỗ hổng trên.

    Theo The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan