اگر از برنامه LibreOffice استفاده میکنید پس باید بسیار مراقب باشید که چه فایل های داکیومنتی را با استفاده از این برنامه باز میکنید.علت این موضوع این است که این برنامه حاوی یک آسیب پذیری پچ نشده است که میتواند یک بدافزار را زمانیکه یک فایل داکیومنت آلوده را باز میکنید وارد سیستم شما کند.

برنامه لیبره آفیس  یکی از معروف ترین برنامه های جایگزین مایکروسافت آفیس است که بصورت اپن سورس بوده و برای سیستم عامل های ویندوز،لینوکس و مک در دسترس است.

اوایل این ماه تیم LibreOffice آخرین نسخه نرم افزار یعنی ۶.۲.۵ را منتشر کردکه در آن به دو آسیب پذیری حاد CVE-2019-9848 و CVE-2019-9849  رسیدگی شده بود ولی پچ ارائه شده دیگر معتبر نیست و Alex Infuhr  یک متخصص سایبری توانسته آنرا دور بزند.

با اینکه این فرد هنوز جزئیات تکنیکی را که توسط آن پچ امنیتی را بی اعتبار کرده ، منتشر نکرده ولی این امر باعث شده تاثیر این آسیب پذیری به قوت خود باقی بماند.

CVE-2019-9848 این آسیب پذیری که هم چنان در آخرین نسخه برنامه وجود دارد مربوط به LibreLogo است.یک اسکریپت گرافیکی turtle vector قابل برنامه ریزی که بصورت پیش فرض همراه LibreOffice است.

LibreLogoبه کاربران این امکان را می دهد که اسکریپت های از قبل نصب شده را در یک داکیومنت مشخص کنند که میتواند در حالت های مختلف اجرا شود.نقص امنیتی مورد بحث توسط Nils Emmerich  شناسایی شد این نقص به هکر اجازه می دهد که یک داکیومنت آلوده را ایجاد کند که می تواند بی سروصدا دستورات پایتون  را بدون نشان دادن هیچ نشانه ای در کامپیوتر قربانی اجرا کند.

CVE-2019-9849 ،این آسیب پذیری که با نصب آخرین بروز رسانی برطرف میشود ، می تواند باعث ورود یک محتوای arbitrary در یک داکیومنت شود حتی زمانیکه stealth mode فعال است.این گزینه بصورت پیش فرض فعال نیست .

تا زمانیکه تیم LibreOffice مجددا پچ امنیتی برای برطرف کردن آسیب پذیری ارائه نداده به کاربران توصیه میشود که برنامه را بروز رسانی یا مجددا بدون macros نصب کنند ویا حداقل بدون قسمت LibreLogo.مراحل نصب به شرح زیر است.

  • فایل setup را به منظور نصب اجرا کنید.
  • حالت custom installation را انتخاب کنید.
  • منوی optional components را باز کنید.
  • روی LibreLogo کلیک کنید و گزینه This Feature Will Not Be Avaolable را انتخاب کنید.
  • روی Next کلیک کنید و سپس برنامه را نصب کنید.