首頁 > 安全研究 > 安全通報 > 安全通告

LibreOffice代碼執行漏洞安全通告

發布時間 2019-07-29

◆ 漏洞編號和級別


CVE編號:CVE-2019-9848,危險級別:高危,CVSS分值:官方未評定


◆ 影響版本


受影響的版本


LibreOffice 6.2.5及之前版本


◆ 漏洞概述


LibreOffice是由The Document Foundation開發的MS Office的開源辦公套件替代品,與.doc,.docx,.xls,.xlsx,.ppt,.pptx文件兼容并支持所有操作系統平臺。


研究人員在LibreOffice中發現了一個代碼執行漏洞,該漏洞允許攻擊者靜默執行任意python命令,而不會發出警告以利用易受攻擊的系統。


默認情況下,LibreOffice隨附LibreLogo(Python解釋器),這是一個宏可編程移動烏龜矢量圖形來執行自定義腳本代碼,內部轉換python代碼并執行。關鍵錯誤正好存在于LibreLogo中,其中代碼不能很好地翻譯,只是提供python代碼,因為腳本代碼經常在翻譯后生成相同的代碼。


LibreOffice修補了此漏洞,但在Twitter上有一個名叫Alex的研究員聲稱他成功繞過了LibreOffice 6.2.5中CVE-2019-9848的修復程序。


◆ 漏洞驗證


POC:https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-execution-vulnerability-cve-2019-9848/。


◆ 修復建議


由于Alex報告了新錯誤,LibreOffice團隊仍在努力修復漏洞,目前建議在當前版本的LibreOffice中禁用LibreLogo組件。


◆ 參考鏈接


https://gbhackers.com/libreoffice/

上一篇 下一篇