Een verontrustend bericht

classic Classic list List threaded Threaded
2 messages Options
Jan Kolloffel-2 Jan Kolloffel-2
Reply | Threaded
Open this post in threaded view
|

Een verontrustend bericht

Ik las vanavond dit:

Bron Security.nl: https://www.security.nl/posting/549757

Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden
zaterdag 10 februari 2018, 09:39 door Redactie, 35 reacties
Laatst bijgewerkt: 10-02-2018, 11:24

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang
tot lokale bestanden van de gebruiker geven, zo waarschuwen de
ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de
Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk
om via een url data in een document te laden, bijvoorbeeld van een
programmeerinterface (api).

Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in
een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen.
Andere formules in het document kunnen van die geïnjecteerde data
gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde
data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren
zou een aanvaller het slachtoffer wel eerst een kwaadaardig document
moeten laten openen.

"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook
te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail
Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt
op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt
kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om
te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn
kwetsbaar.

Wat ik er mee moet weet ik nog niet zo precies, maar denk dat ik dan
6.0.1 maar installeer...

Jan


--
Unsubscribe instructions: E-mail to [hidden email]
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/nl/users/
All messages sent to this list will be publicly archived and cannot be deleted
Cor Nouws Cor Nouws
Reply | Threaded
Open this post in threaded view
|

Re: Een verontrustend bericht

Ha Jan,

Jan wrote on 12-02-18 21:27:
> Ik las vanavond dit:
>
> Bron Security.nl: https://www.security.nl/posting/549757
> ....
> Wat ik er mee moet weet ik nog niet zo precies, maar denk dat ik dan
> 6.0.1 maar installeer...

Goed dat je het nogmaals onder de aandacht brengt.
En ja: 5.4.5 en/of 6.0.1 gebruiken is wat je moet doen.
Daarom is dat afgelopen vrijdag ook al naar de lijsten gepost.

vr. groet,
Cor

--
Cor Nouws
GPD key ID: 0xB13480A6 - 591A 30A7 36A0 CE3C 3D28  A038 E49D 7365 B134 80A6
- vrijwilliger http://nl.libreoffice.org
- volunteer http://www.libreoffice.org
- Member The Document Foundation

--
Unsubscribe instructions: E-mail to [hidden email]
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/nl/users/
All messages sent to this list will be publicly archived and cannot be deleted