Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden

[Captain Kirk]

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang tot lokale bestanden van de gebruiker geven, zo waarschuwen de ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk om via een url data in een document te laden, bijvoorbeeld van een programmeerinterface (api).

Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen. Andere formules in het document kunnen van die geïnjecteerde data gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren zou een aanvaller het slachtoffer wel eerst een kwaadaardig document moeten laten openen.

"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn kwetsbaar.

 

 

bron: security.nl