当前位置:首页 > 漏洞预警 > 正文

LibreOffice任意代码执行漏洞 (CVE-2019-9848、CVE-2019-9849)预警

发布时间:2019-07-30 11:13:29,来源:中国信息通信研究院

      一、基本情况

LibreOffice存在任意代码执行漏洞,CVE编号:CVE-2019-9848、CVE-2019-9849。攻击者可通过用户点击已构造的恶意文档,静默执行任意python命令。

      二、漏洞描述

LibreOffice 是可替代微软 Office 套件的最流行的开源软件之一,适用于 Windows、Linux 和MacOS 系统。

LibreOffice发布最新版6.2.5,解决了两个严重的漏洞 CVE-2019-9848 和 CVE-2019-9849,但研究员发现,第一个漏洞的补丁已遭绕过。CVE-2019-9848 仍然存在于最新版本中,它存在于 LibreLogo 中。LibreLogo 是LibreOffice 默认自带的可编程海龟矢量图形脚本 (programmable turtule vector graphics script)。LibreLogo可使用户指定文档中预装的可在多种事件如鼠标悬停情况下执行的文档。

该漏洞可导致攻击者构造一个恶意文档,在不向目标用户展示任何警告信息的情况下静默执行任意 python 命令。该代码翻译得并不好,而且仅提供 python 代码作为脚本代码,通常导致翻译后仍然是同样的代码。使用表单和 OnFocus 事件,甚至可能在打开文档时执行代码,而无需鼠标悬停事件。

CVE-2019-9849可通过安装最新可用更新版本的方式解决,它可导致即使在启用“隐身模式”的情况下在文档中包含远程任意内容。该隐身模式并非默认启用,但用户可激活该模式来指令仅从可信位置检索远程资源。

      三、影响范围

LibreOffic < 6.2.5

      四、处置建议

目前官方尚未更新补丁。在此之前,建议用户更新或重装没有宏的软件,至少不含 LibreLogo 组件,步骤如下:

1)打开设置,开始重装

2)选择“自定义”安装

3)扩展“可选组件”

4)点击“LibreLogo”并选择“此功能不可用”

5)点击“下一步”安装软件

      五、参考链接

1)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9848

2)https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9848

3)https://security.archlinux.org/AVG-1010