Ik las vanavond dit:

Bron Security.nl: https://www.security.nl/posting/549757

Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden
zaterdag 10 februari 2018, 09:39 door Redactie, 35 reacties
Laatst bijgewerkt: 10-02-2018, 11:24

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang tot lokale bestanden van de gebruiker geven, zo waarschuwen de ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk om via een url data in een document te laden, bijvoorbeeld van een programmeerinterface (api).

Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen. Andere formules in het document kunnen van die geïnjecteerde data gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren zou een aanvaller het slachtoffer wel eerst een kwaadaardig document moeten laten openen.

"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn kwetsbaar.

Wat ik er mee moet weet ik nog niet zo precies, maar denk dat ik dan 6.0.1 maar installeer...

Jan


--
Unsubscribe instructions: E-mail to users+unsubscr...@nl.libreoffice.org
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/nl/users/
All messages sent to this list will be publicly archived and cannot be deleted

Antwoord per e-mail aan