พบช่องโหว่บน LibreOffice และ OpenOffice แนะควรอัปเดต

Alex Inführ นักวิจัยด้านความมั่นคงปลอดภัยได้เผยถึงช่องโหว่ที่นำไปสู่การเกิด Remote Code Execution บน LibreOffice และ OpenOffice พร้อมกันนี้ยังได้โพสต์วีดีโอสาธิตการใช้งานช่องโหว่ไว้อีกด้วย

ช่องโหว่ CVE-2018-16858 เป็นช่องโหว่ Directory Traversal ที่อาจนำไปสู่การลอบรันโค้ดได้ เช่น แฮ็กเกอร์สร้างไฟล์เอกสารแบบพิเศษขึ้นมาและใช้ Mouse-over Event เพื่อทำให้เกิดการลอบรัน Script Python ซึ่งตัวของ LibreOffice และ OpenOffice ก็รองรับ Python อยู่แล้วด้วยดังนั้นจึงเอื้ออำนวยให้เกิดการโจมตีได้

อย่างไรก็ตามทาง LibreOffice ได้แพทช์อัปเดตแก้ไขเป็นเวอร์ชัน 6.0.7 หรือ 6.1.3 ในขณะที่ OpenOffice ยังไม่มีแพทช์ ผู้สนใจสามารถชมคลิปวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/openoffice-vulnerable-to-remote-code-execution-libreoffice-patched/ และ https://www.securityweek.com/code-execution-flaw-found-libreoffice-openoffice