Ajándékozz éves hvg360 előfizetést!
A jelek szerint meglehetősen könnyű rosszindulatú programot futtatni a LibreOffice segítségével, ehhez csupán a LibreLogo makróra van szükség.
Különös hibára lett figyelmes nemrég a The Register újságírója: egy olyan problémát szúrt ki a nyílt forráskódú irodai programcsomagban, a LibreOffice-ban, amit elvileg már kijavítottak a fejlesztők. A jelek szerint azonban mégsem, ami miatt viszont könnyen bekaphat a felhasználó egy vírust.
A hiba alapvetően három dologból tevődik össze. Egyrészt a LibreLogo nevű funkcióval van probléma, ami a programozás alapjainak elsajátításához használható. Ehhez elég csak begépelni a parancsokat egy dokumentumba, majd megnézni, ahogy a teknős formájú kurzor ezek hatására hogyan kezd el rajzolni.
A LibreOffice ezeket a parancsokat Python-utasításokra fordítja le, majd átadja azt a programnyelv interpreterének. Ezzel viszont az a probléma, hogy mindezt ellenőrizetlenül teszi meg, vagyis gyakorlatilag bármilyen utasítás átcsúszhat rajta.
A másik probléma, hogy a LibreOffice makrói megbízhatónak minősülnek – még az is, ami a LibreLogót futtatja. Hiába állítja valaki magasra a makrók biztonsági ellenőrzését, azok figyelmeztetés nélkül futnak tovább.
A legnagyobb probléma, hogy a LibreLogo önállóan is átadhatja a kódokat a Pythonnak, hogy futtassa le azokat.
Mindez azt jelenti, hogy bárki készíthet egy olyan, ártalmas kódot, amely automatikusan lefut. Ha ezt valaki egy e-mail formájában elküldi, a megnyitáskor automatikusan elindulhat az ártalmas program. A The Register szerint a Microsoft Outlook szerencsére "csak olvasható" jogosultsággal nyitja meg a dokumentumot, így az elviekben nem tud kárt okozni, más levelezőknél azonban ez nem biztos, hogy így működik. Ugyanakkor ha megnyitották a csatolmányt, a benne lévő kód akkor is lefutott.
A LibreOffice fejlesztői elvileg befoltozták a biztonsági réseket a június 20-án kiadott 6.2.5-ös verzióval, ám a tapasztalatok szerint továbbra is megtalálható a sérülékenység a programban.
A megoldás az lehet, ha a biztonsági rés tényleges befoltozásáig eltávolítják a felhasználók a LibreLogót a programcsomagból.
Ha máskor is tudni szeretne hasonló veszélyekről, lájkolja a HVG Tech rovatának Facebook-oldalát.
