V kancelářských balících LibreOffice a Apache OpenOffice byla objevena vážná zranitelnost, která umožňuje spuštění útočného kódu, pokud uživatel otevře upravený dokument s příponou ODT. Chyba s označením CVE-2018–16858 dovoluje přidat do dokumentu skrytou událost (onmouseover), která po svém vyvolání začne provádět kód v Pythonu.
Součástí kancelářského balíku je i interpret Pythonu, kterému je možné předávat parametry a spouštět další pythoní skripty z disku. Jelikož je možné skripty volat v libovolné relativní cestě, otevírá se prostor pro útok. Stačí už jen v instalaci kancelářského balíku najít zranitelný skript – například pydoc.py,
který pomocí příkazu cmd
umí spustit libovolný příkaz v systému.
Objevitel chyby vše velmi detailně popsal na svém blogu. Vývojářům obou balíků byl problém nahlášen v říjnu, balík LibreOffice má opravu ve verzích 6.0.7 a 6.1.3, zatímco Apache OpenOffice je stále ještě zranitelný.
Podívejte se na krátké demonstrační video, které ukazuje, jak může skrytá událost spouštět systémové příkazy: