به کاربران LibreOffice توصیه میشود، در باز کردن فایل های ناشناس با این نرم افزار احتیاط کنند. چون به تازگی در این نرم افزار آسیب پذیری بحرانی کشف شده است که با باز کردن یک فایل مخرب، بدافزار وارد سیستم قربانی میشود.

نرم افزار LibreOffice یکی از محبوبترین جایگزین های متن باز برای Microsoft Office می باشد و برای هریک از سیستم عامل های ویندوز، لینوکس و مک در دسترس می باشد.

اوایل این ماه LibreOffice نسخه بروز ۶.۲.۵ را منتشر کرد که دو آسیب پذیری بحرانی (CVE-2019-9848  وCVE-2019-9849) را مرتفع می ساخت اما اکنون یکی از این آسیب پذیری ها  توسط Alex Inführ، یک محقق امنیتی، دور زده شده است.

با وجود اینکه Inführ هنوز جزئیات تکنیکی را که به وی امکان دور زدن وصله را فراهم کرده ، افشا نکرده است، اما تأثیرات کنونی این آسیب پذیری به شرح زیر است:

1. CVE-2019-9848: این آسیب پذیری متعلق است به LibreLogo، اسکریپت گرافیگی قابل برنامه ریزی turtle vector، که به طور پیش فرض با نرم افزار LibreOffice نصب میشود. این آسیب پذیری حتی در آخرین نسخه نرم افزار هم وجود دارد.

LibreLogo به کاربران امکان می دهد اسکریپت های از پیش نصب شده که شامل رویدادهای مختلفی مانند mouse-over می شوند را به فایل ها اضافه کنند.

این آسیب پذیری که توسط Nils Emmerich کشف شده است، مهاجمان را قادر میسازد با ایجاد فایل های مخرب، دستورات پایتون دلخواه خود را بر روی سیستم قربانی اجرا کنند. Emmerich، همچنین روش این نوع حمله را در وبلاگ شخصی خود منتشر کرده است.

لینک وبلاگ: https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-execution-vulnerability-cve-2019-9848/حالت مخفیکاری به صورت پیش فرض فعال نیست ، اما کاربران می توانند آن را فعال کنند تا اسناد را برای بازیابی منابع از راه دور فقط از مکان های قابل اعتماد راهنمایی کنند.۲. CVE-2019-9849: این آسیب پذیری که در آخرین نسخه ارائه شده، برطرف شده است، مهاجم را قادر میسازد در صورت فعال بودن حالت stealth mod، از راه دور محتوای دلخوه خود را به فایل اضافه کند.

حالت stealth mod به طور پیش فرض غیرفعال است اما کاربران میتوانند آن را فعال کنند. از این حالت برای بازیابی منابع از مکان های امن استفاده میشود.

راهکاری حفاظت از این آسیب پذیری

به کاربران توصیه میشود تا زمانی که وصله ای برای رفع این آسیب پذیری ها منتشر نشده است، با انجام مراحل زیر این نرم افزار را بدون ماکرو و یا بدون مولفه LivreLogo نصب کنند.

• قسمت تنظیمات ، گزینه Custom ، گزینه Optional Components
• انتخاب LiberLogo و سپس گزینه This Feature Will Not Be Available
• و سپس ادامه مراحل نصب