LibreOffice: Tek bir yanlış tıklama, kötü amaçlı kod yürütülmesine yol açabilir

bencede

New member
Açık kaynaklı ofis yazılım paketi LibreOffice, bir güvenlik açığından etkileniyor. Saldırganlar, kurbanları kötü amaçlı bir belgeyi açmaları ve ona tıklamaları için kandırarak, kurbanları kötü amaçlı kod çalıştırmaları için kandırabilirler.

Duyuru



Bir güvenlik tavsiyesinde LibreOffice geliştiricileri, ofis yazılımının grafiklerdeki tıklama olaylarına komut dosyaları eklemeyi desteklediği konusunda uyarıyor. Programcılar sorunu şöyle açıklıyor: “LibreOffice'in etkilenen sürümleri için, kullanıcılar bu tür tıklama işleyicilerine sahip bir belgeye tıkladığında gömülü komut dosyalarının uyarı olmadan yürütüldüğü senaryolar var” (CVE-2024-3044, CVSS) 8.8“Risk”yüksek“).

LibreOffice: Güvenlik Açığı Risk Değerlendirmesi


LibreOffice projesi belirli bir tehdit düzeyi sınıflandırması sağlama konusunda isteksiz olsa da Federal Bilgi Güvenliği Bürosu (BSI) CERT birliği, boşluğu, sıralanan “kritik” durumun hemen altındaki 8,8 CVSS değeriyle yüksek riskli olarak sınıflandırdı.

LibreOffice'in ilk sürümlerinde bu tür komut dosyaları güvenilir olarak sınıflandırılıyordu ancak artık güvensiz olarak kabul ediliyor. Hata düzeltmesi, bir belge yüklenirken atanan makroları çalıştırmak için kullanıcı tarafından verilen hakların artık tıklandığında bu işleyiciler için de kullanılmasıdır.

Güvenlik sorununa çözüm olarak proje, LibreOffice'in hatasız sürümlerine yükseltme yapılmasını öneriyor. LibreOffice 24.2.3 ve 7.6.7, proje indirme sayfasından indirilebilir. Linux kullanıcıları yazılım yöneticisini başlatmalı ve hata giderilen sürümlerin önceden kurulu olup olmadığını kontrol etmelidir.

Yaklaşık bir yıl önce Ghostscript paketi birçok yazılım kurulumunda bir güvenlik açığı açtı. Bu aynı zamanda Ghostscript'i içeren LibreOffice için de geçerlidir. Daha sonra bu boşluk, manipüle edilmiş belgeler açılarak da kötüye kullanılabilir.


(Bilmiyorum)



Haberin Sonu
 
Üst