Tags:
Node Thumbnail

เมื่อเดือนที่แล้ว LibreOffice ปล่อยแพตช์ตามรอบปกติเป็นรุ่น 6.2.5 โดยส่วนหนึ่งของแพตช์คือการแก้ช่องโหว่ CVE-2019-9848 ที่เปิดทางให้แฮกเกอร์สร้างไฟล์มุ่งร้ายเพื่อรันสคริปต์ยึดเครื่องได้ โดยหลังจากแพตช์ออกมาแล้วช่วงปลายเดือนก็มีการเปิดเผยรายละเอียดช่องโหว่ออกมา แต่พบว่าแพตช์นั้นไม่สามารถอุดช่องโหว่ได้ครบถ้วน ทำให้ต้องการเตรียมแพตช์ใหม่อีกครั้ง

ช่องโหว่ CVE-2019-9848 เป็นฟีเจอร์ LibreLogo ที่ทำให้สามารถฝังสคริปต์เพื่อวาดภาพกราฟิกได้ แต่ช่องโหว่กลับเปิดทางให้แฮกเกอร์รันสคริปต์ไพธอน จนนำไปสู่การรันโค้ดอื่นๆ ได้ในที่สุด และตัว LibreOffice จะยังรันสคริปต์เสมอแม้จะตั้งค่าความปลอดภัยระดับสูงสุดไว้แล้วก็ตาม

ทางโฆษกของ LibreOffice ระบุว่าทางโครงการกำลังพิจารณามอง LibreLogo เป็นส่วนขยายแทนที่จะเป็นส่วนหนึ่งของ LibreOffice เพื่อเพิ่มความปลอดภัยในอนาคต

ช่องโหว่กำลังถูกแพตช์ในเวอร์ชั่น 6.2.6 มีกำหนดออกวันที่ 12 - 18 สิงหาคมนี้ และรุ่น 6.3.0 มีกำหนดออก 5 - 11 สิงหาคมนี้

ที่มา - The Register

No Description

ภาพโดย EsaRiutta

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 5 August 2019 - 13:49 #1122690
panurat2000's picture

OpenOffice พลาดปล่อยแพตช์ความปลอดภัยไม่สมบูรณ์ ต้องแพตช์ใหม่สัปดาห์หน้า

OpenOffice ?

และตัว LibreOffice จะยังรันสคริปต์เสมอแม้จะตั้งค่าความปลอดภัยระดับสูงสุดไว้แล้วก็ตาม ทางโฆษกของ LibreOffice ระบุว่าทางโครงการกำลังพิจารณามอง LibreLogo เป็นส่วนขยายแทนที่จะเป็นส่วนหนึ่งของ LibreOffice เพื่อเพิ่มความปลอดภัยในอนาคต

LibreOffice ?

By: Bigta
ContributoriPhoneAndroidUbuntu
on 5 August 2019 - 15:22 #1122709
Bigta's picture

เคสนี้เป็นช่องโหว่ใน LibreOffice นะครับ (ไม่ยืนยันว่า OpenOffice โดนด้วยหรือเปล่า แต่ในรายการ CVE ไม่ได้ระุชื่อ OpenOffice) แต่ตัว OpenOffice เองก็ไม่ได้มีอัปเดตอะไรใหม่มาเกือบปีแล้ว