Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
LibreOffice/OpenOffice – można wykonać kod w systemie operacyjnym po otwarciu prostego pliku.
W największym skrócie, można do dokumentu wstawić “zwykły” hiperlink i zdefiniować w zdarzeniu mouseover uruchomienie skryptu Python. W źródle pliku ODT (dokładniej w jednym z plików, który znajduje się w ODT) mamy wtedy tego typu kod
<script:event-listener script:language=”ooo:script” script:event-name=”dom:mouseover” xlink:href=”vnd.sun.star.script:pythonSamples|TableSample.py$createTable?language=Python&location=share” xlink:type=”simple”/>
Z racji, że interpreter Pythona jest instalowany razem z LibreOffice, autor badania przygotował dokument z białym linkiem rozszerzonym na całą stronę. Po otwarciu dokumentu i lekkim ruchu myszką mamy odpalenie kodu w systemie operacyjnym:
Podatność załatano w:
Libreoffice: 6.1.4.2
Libreoffice: 6.0.7
OpenOffice podatny jest w najnowszej wersji 4.1.6
–ms
No proszę nawet OO dostało. Niestety nie ma nic odpornego na wszystko. ;-|
Co prawda nie instaluję większości dodatków w OO w tym Wężowego ;-) I jednak korzystam z rozszerzenia .doc (każdy da radę otworzyć taki plik) ale dobrze wiedzieć.
Dzięki za info Panie Michale.
Pozdrowienia.
Dobrze że łatam LO na bieżąco.
Na Ubuntu mam w LibreOffice DOMYŚLNIE wyłączone makra od niezaufanych, tzn. nie uruchomi się nic co nie jest podpisane przez autora, którego certyfikat dodam najpierw w opcjach. Jednak to chyba bardziej zasługa Canonicala niż LibreOffice…