WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Bản vá cho hai lỗ hổng nghiêm trọng trên LibreOffice bị qua mặt – Cập nhật để vá lại
LibreOffice vừa phát hành phiên bản mới nhất 6.2.6/6.3.0 để vá ba lỗ hổng cho phép hacker vượt qua bản vá dành cho hai lỗ hổng được xử lý trước đó
Một trong hai lỗ hổng đó là CVE-2019-9848, lỗi thực thi mã từ xa ảnh hưởng đến LibreLogo, môi trường lập trình Python được mặc định đi kèm LibreOffice.
Tuy nhiên, bản vá cho lỗ hổng này không hiệu quả khi các nhà nghiên cứu vẫn có thể qua mặt bằng cách khai thác hai lỗ hổng mới:
Nếu khai thác thành công tất cả các lỗ hổng này, kẻ tấn công từ xa có thể âm thầm thực thi các lệnh với mục đích xấu trên máy tính mục tiêu bằng cách thuyết phục nạn nhân mở một file tài liệu độc hại.
Người dùng LibreOffice được khuyến cáo cần cập nhật phiên bản phần mềm mới nhất 6.2.6/6.3.0 ngay lập tức để tránh bị khai thác bởi các lỗ hổng trên.
Một trong hai lỗ hổng đó là CVE-2019-9848, lỗi thực thi mã từ xa ảnh hưởng đến LibreLogo, môi trường lập trình Python được mặc định đi kèm LibreOffice.
Tuy nhiên, bản vá cho lỗ hổng này không hiệu quả khi các nhà nghiên cứu vẫn có thể qua mặt bằng cách khai thác hai lỗ hổng mới:
- CVE-2019-9850: tồn tại trong LibreOffice do xác thực không đúng URL, cho phép kẻ tấn công qua mặt cơ chế bảo vệ được bổ sung để vá lỗi CVE-2019-9848 trước đó, từ đó kích hoạt gọi LibreLogo từ trình xử lý script event.
- CVE-2019-9851: nằm trong tính năng độc lập hỗ trợ file tài liệu xác định các đoạn script có sẵn có thể được thực thi trên các script event khác nhau của toàn hệ thống như mở tài liệu ...
Nếu khai thác thành công tất cả các lỗ hổng này, kẻ tấn công từ xa có thể âm thầm thực thi các lệnh với mục đích xấu trên máy tính mục tiêu bằng cách thuyết phục nạn nhân mở một file tài liệu độc hại.
Người dùng LibreOffice được khuyến cáo cần cập nhật phiên bản phần mềm mới nhất 6.2.6/6.3.0 ngay lập tức để tránh bị khai thác bởi các lỗ hổng trên.
Theo The Hacker News