LibreOffice/OpenOffice – można wykonać kod w systemie operacyjnym po otwarciu prostego pliku.

01 lutego 2019, 18:14 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

W największym skrócie, można do dokumentu wstawić „zwykły” hiperlink i zdefiniować w zdarzeniu mouseover uruchomienie skryptu Python. W źródle pliku ODT (dokładniej w jednym z plików, który znajduje się w ODT) mamy wtedy tego typu kod

<script:event-listener script:language=”ooo:script” script:event-name=”dom:mouseover” xlink:href=”vnd.sun.star.script:pythonSamples|TableSample.py$createTable?language=Python&amp;location=share” xlink:type=”simple”/>

Z racji, że interpreter Pythona jest instalowany razem z LibreOffice, autor badania przygotował dokument z białym linkiem rozszerzonym na całą stronę. Po otwarciu dokumentu i lekkim ruchu myszką mamy odpalenie kodu w systemie operacyjnym:

Podatność załatano w:

Libreoffice: 6.1.4.2
Libreoffice: 6.0.7

OpenOffice podatny jest w najnowszej wersji 4.1.6

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zero one

    No proszę nawet OO dostało. Niestety nie ma nic odpornego na wszystko. ;-|
    Co prawda nie instaluję większości dodatków w OO w tym Wężowego ;-) I jednak korzystam z rozszerzenia .doc (każdy da radę otworzyć taki plik) ale dobrze wiedzieć.

    Dzięki za info Panie Michale.
    Pozdrowienia.

    Odpowiedz
  2. SuperTux

    Dobrze że łatam LO na bieżąco.

    Odpowiedz
  3. pytąg

    Na Ubuntu mam w LibreOffice DOMYŚLNIE wyłączone makra od niezaufanych, tzn. nie uruchomi się nic co nie jest podpisane przez autora, którego certyfikat dodam najpierw w opcjach. Jednak to chyba bardziej zasługa Canonicala niż LibreOffice…

    Odpowiedz

Odpowiedz na pytąg