為了節省成本,有些企業會採用開放原始碼的辦公室生產力軟體,若有資安漏洞,勢必影響前端使用者,甚至伺服器存取文件的安全性。1月7日文件基金會(The Document Foundation)發布資安公告,指出他們在去年底發布的24.8.4版開源辦公室套件LibreOffice當中,修補兩項資安弱點CVE-2024-12426、CVE-2024-12425,最近通報這些漏洞的資安業者公布相關細節,指出一旦遭到利用,攻擊者就有機會在幾乎無須使用者互動的情況下進行攻擊。
根據文件基金會發布的資安公告,較為危險的是CVE-2024-12426,這項漏洞出現在URL截取功能,能用於滲透任意INI檔案的數值及環境變數,CVSS風險為6.7分;另一個漏洞CVE-2024-12425與路徑穿越有關,可被用於寫入任意TTF檔案,風險評分為2.4。
乍看之下,這些漏洞危險程度不高,但通報漏洞的資安業者Codean Labs指出,這些漏洞都與LibreOffice載入文件檔案的過程有關,過程中無須使用者互動,無論是使用者開啟攻擊者提供的惡意檔案,或是伺服器以無頭模式(headless)執行LibreOffice轉換檔案,都會觸發上述弱點。
究竟這些漏洞帶來的危害是什麼?Codean Labs資安研究員Thomas Rinsma指出,若是企業組織的伺服器遭到利用攻擊,由於這些弱點能讓攻擊者有機會讀取及寫入伺服器的檔案系統,有可能導致伺服器完全被滲透。
而對於一般的使用者來說,攻擊者有機會利用釣魚郵件竊取或重置特定的Token,而能在針對特定目標的情況下用於進一步攻擊。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2025-02-18
2025-02-18
2025-02-14
Advertisement