LibreOffice tồn tại một lỗ hổng thực thi mã nguy hiểm và chưa có bản vá, có thể lén lút cài mã độc vào hệ thống của người dùng ngay khi họ mở file do hacker tạo ra.
LibreOffice là một trong những lựa chọn phần mềm mã nguồn mở và thay thế cho các bộ Microsoft Office phổ biến nhất hiện nay, dùng trên các hệ điều hành Windows, Linux và macOS.
Nhà nghiên cứu Alex Inführ, người phát hiện ra lỗ hổng cho biết, đầu tháng 07/2019, LibreOfffice đã phát hành phiên bản phần mềm mới nhất 6.2.5 để xử lý hai lỗ hổng nghiêm trọng (CVE-2019-9848 và CVE-2019-9849), nhưng bản vá cho lỗ hổng cũ hiện đã bị qua mặt.
Dù nhà nghiên cứu Inführ chưa tiết lộ chi tiết kỹ thuật cho phép mình qua mặt được bản vá, nhưng có giải thích về ảnh hưởng của lỗ hổng này như sau:
1. CVE-2019-9848: Lỗ hổng vẫn tồn tại trên phiên bản mới nhất, nằm trong LibreLogo – môi trường lập trình Python được mặc định đi kèm LibreOffice.
Lỗ hổng có thể cho phép kẻ tấn công tạo một file tài liệu chứa mã độc, âm thầm thực thi lệnh python tùy ý mà không hiển thị bất kỳ cảnh báo nào đến người dùng mục tiêu.
Lỗi hổng này đã có PoC.
2. Lỗ hổng CVE-2019-9849 cho phép đưa đoạn mã khai thác từ xa vào một tài liệu, kể cả khi chế độ “stealth mode” (chế độ tàng hình) được bật. Lỗi này có thể được khắc phục bằng cách cài đặt bản cập nhật mới nhất.
Bảo vệ hệ thống như thế nào?
Lỗ hổng đã được báo cáo cho đội ngũ LibreOffice nhưng cho đến khi có bản vá, người dùng được khuyến cáo cập nhật hoặc cài đặt lại phần mềm mà không dùng đến macro hoặc ít nhất là tính năng LibreLogo, bằng cách thực hiện các bước sau:
- Mở mục setup và bắt đầu quá trình cài đặt
- Lựa chọn cài đặt “Custom”
- Lựa chọn mở rộng “Optional Components”
- Tick vào LibreLogo và lựa chọn “This Feature Will Not Be Available“
- Chọn Next và sau đó cài đặt phần mềm
Theo The Hacker News