Tambalan untuk 2 Kelemahan LibreOffice Parah Dipotong - Perbarui untuk Patch Lagi - Otak Kita

Tambalan untuk 2 Kelemahan LibreOffice Parah Dipotong - Perbarui untuk Patch Lagi


Otak Kita - Jika Anda menggunakan LibreOffice, Anda perlu memperbaruinya sekali lagi.

LibreOffice telah merilis versi terbaru dari perangkat lunak perkantoran open-source untuk mengatasi tiga kerentanan baru yang dapat memungkinkan penyerang untuk memotong tambalan untuk dua kerentanan yang sebelumnya ditangani.

LibreOffice adalah salah satu alternatif sumber terbuka dan paling populer untuk Microsoft Office suite dan tersedia untuk sistem Windows, Linux dan macOS.

Salah satu dari dua kerentanan, dilacak sebagai CVE-2019-9848 , yang coba ditambal LibreOffice bulan lalu adalah cacat eksekusi kode yang mempengaruhi LibreLogo, skrip grafis vektor penyu yang dapat diprogram yang dikirimkan secara default dengan LibreOffice.

Cacat ini memungkinkan penyerang membuat dokumen berbahaya yang dapat secara diam-diam menjalankan perintah python sewenang-wenang tanpa menampilkan peringatan apa pun kepada pengguna yang ditargetkan.

Rupanya, tambalan untuk kerentanan ini tidak memadai, karena The Hacker News juga melaporkan akhir bulan lalu , yang memungkinkan dua peneliti keamanan terpisah untuk memintas tambalan dan mengaktifkan kembali serangan dengan mengeksploitasi dua kerentanan baru, seperti yang dijelaskan di bawah ini:


  •     CVE-2019-9850: Ditemukan oleh Alex Inf├╝hr, kerentanan di LibreOffice ada karena tidak cukupnya validasi URL yang memungkinkan penyerang jahat untuk mem-bypass perlindungan yang ditambahkan ke patch CVE-2019-9848 dan sekali lagi memicu panggilan LibreLogo dari penangan acara script. 

  •     CVE-2019-9851: Ditemukan oleh Gabriel Masei, cacat ini berada di fitur terpisah di mana dokumen dapat menentukan skrip yang sudah diinstal, seperti LibreLogo, yang dapat dieksekusi di berbagai acara skrip global seperti pembukaan dokumen, dll. 




Tambalan untuk kerentanan kedua (CVE-2018-16858) yang dirilis LibreOffice pada bulan Februari telah berhasil di-bypass, mengaktifkan kembali serangan traversal direktori yang dapat memungkinkan dokumen jahat untuk mengeksekusi skrip apa pun dari lokasi sewenang-wenang pada sistem file korban.



  •     CVE-2019-9852: Ditemukan oleh Nils Emmerich dari ERNW Research GmbH, serangan penyandian URL dapat memungkinkan penyerang memotong patch untuk serangan traversal direktori. 




Dengan berhasil mengeksploitasi ketiga kerentanan ini, penyerang jarak jauh dapat secara diam-diam mengeksekusi perintah jahat pada komputer yang ditargetkan dengan meyakinkan korban agar hanya membuka file dokumen yang dibuat dengan jahat.

Pengguna LibreOffice sangat disarankan untuk memperbarui perangkat lunak kantor mereka ke versi patch terbaru 6.2.6 / 6.3.0 sesegera mungkin untuk menghindari menjadi korban dari setiap serangan yang mengeksploitasi kerentanan ini.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel