Ciekawa podatność wykryta w LibreOffice i Apache OpenOffice

Jedną z alternatyw dla płatnych pakietów biurowych są LibreOffice oraz Apache OpenOffice, które zawierają zestaw niezbędnych narzędzi, a do tego są darmowe, na otwartym kodzie i ze wsparciem dla najpopularniejszych systemów operacyjnych.

Niestety, jak donosi serwis The Hacker News[1], jednemu z badaczy udało się znaleźć poważną lukę, która odbija się na bezpieczeństwie użytkowników wspomnianych pakietów biurowych. Zdalne wykonanie kodu (RCE – Remote Code Execution) może zostać wykonane poprzez otwarcie odpowiednio spreparowanego pliku ODT (Open Document Text). Poniżej widoczny jest przykładowy film, na którym widać, że w efekcie otwarcia „szkodliwego” pliku, został uruchomiony systemowy kalkulator. Pod kalkulator można podstawić inną akcję, np. zainicjowanie pobierania szkodliwego oprogramowania.

Podatność uzyskała oznaczenie CVE-2018-16858. W celu jej wykorzystania odkrywca stworzył plik ODT, w którym zawarte było hiperłącze z białą barwą (dzięki czemu nie było widoczne na tle pustego dokumentu). Po kliknięciu zostaje rozpoczęte wykonanie kodu pliku napisanego w Pythonie i znajdujące się lokalnie na komputerze.

Twórcy oprogramowania zostali poinformowali o luce jeszcze w październiku 2018 roku i w tym samym miesiącu LibreOffice wypuścili poprawkę. Niestety drugi produkt nie otrzymał jeszcze poprawki, chociaż warto zaznaczyć, że sam autor poinformował, że ten konkretny exploit nie zadziała na OpenOffice, ale nie wyklucza to niebezpieczeństwa:

Openoffice does not allow to pass parameters; therefore, my PoC does not work but the path traversal can [still] be abused to execute a python script from another location on the local file system,” Inführ explains.

[1] https://thehackernews.com/2019/02/hacking-libreoffice-openoffice.html