Tietoturva

Käytätkö tätä suosittua tekstinkäsittelyohjelmaa? Lopeta heti

Julkaistu:

Haavoittuvuudet
Tietokoneen voi kaapata salakavalasti LibreOfficessa ja Apache OpenOfficessa. Vain toinen on korjattu.
Suosituista tekstinkäsittelyohjelmista on löytynyt haavoittuvuus, jolla hyökkääjä voi saada uhrin tietokoneen haltuunsa.

Itävaltalainen tietoturvatutkija Alex Inführ kertoo aukosta Windowsin LibreOfficessa, mutta sanoo uhkan koskevan myös ohjelmiston Linux-käyttäjiä. Hän keksi, että tietokoneisiin voi hyökätä etäältä saamalla uhri avaamaan odt-muotoinen asiakirjatiedosto. Kun asiakirja on auki, uhrin ei tarvitse tehdä muuta kuin viedä hiiren osoitin asiakirjassa olevan linkin ylle. Ilman linkin klikkaamista tämä käynnistää asiakirjaan upotetun hyökkäyskoodin.

Yksi tapa hyökätä on tehdä linkistä valkoinen, jolloin se ei erotu asiakirjan taustaa vasten. Jos linkistä myös tekee koko sivun kokoisen, hiiren osoitin osuu hyvin todennäköisesti sen päälle. Koodin ajamisesta ei tule ruutuun mitään varoitusta tai muuta ilmoitusta.

LibreOfficen uusimmat versiot 6.1.4.2 ja 6.0.7 on korjattu, mutta toisessa suositussa tekstinkäsittelyohjelmassa Apache OpenOfficessa aukko yhä on.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Jos satut käyttämään Apache OpenOfficea, pyydän lopettamaan nyt ja käyttämään LibreOfficea. Tämä on paha bugi, arvioi tietotekniikkatoimittaja Hanno Böck Twitterissä.
Saksan tietoturvaviranomainen Cert-Bund jakoi Böcking varoituksen.

Tutkija Inführin tekemä hyökkäyskoodi ei toimi sellaisenaan OpenOfficea vastaan, mutta hän listaa myös OpenOfficen viimeisimmän version 4.1.6 haavoittuvaksi.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt