Tenable ブログ
ブログ通知を受信する
LibreOfficeのURLマウスオーバープレビュー機能におけるコード実行の脆弱性
研究者、Alex Inführは、悪意のあるURLの上にマウスを置いた場合にLibreOffice 6.1.0-6.1.3.1は、コードインジェクション攻撃を受けやすいことを発見しました。
背景
研究者、Alex Inführは、LibreOfficeバージョン6.1.0-6.1.3.1の脆弱性(CVE-2018-16858)を公開しました。これは、ユーザーが悪意のあるURLの上にマウスを置くと、LinuxとWindowsの両方のバージョンでコードインジェクションが可能になる脆弱性です。
最新情報:Tenable Researchは、概念実証(PoC)コードを編集することにより、この脆弱性がmacOSでも悪用可能であることを確認しました。
分析
この脆弱性はユーザーの操作を必要としますが、悪意のあるURLを含むOpenDocument Text(ODT)ファイルは、ほとんどの企業のセキュリティ防御により警告されることはありません。ドキュメントには悪意のあるコードやその他の変更された要素はないため、マルウェアとは見なされず、テキストをドキュメントの背景と同じ色に変更して、一般のユーザーには表示されないようにすることができます。
さらに、この脆弱性が悪用されても、いかなる種類の警告ダイアログも生成されず、ユーザーが悪意のあるURLにカーソルを合わせるとすぐにコードが実行されます。現在、LibreOffice Still(安定バージョン)6.0.7はこの脆弱性の影響を受けていません。
以下の研究者の概念実証ビデオでは、脆弱性のあるバージョンで非表示のURLがコマンドプロンプトを実行することを示しています。
ソリューション
LibreOfficeは、リリース6.1.3.2でこの脆弱性を解決したので、このバージョン以降にアップグレードすると、この脆弱性が緩和されます。
影響を受けているシステムの特定
この脆弱性を識別するためのNessusプラグインのリストは、リリースされた時点でここに掲載されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Strengthening the Nessus Software Supply Chain with SLSA
April 16, 2024You know Tenable as a cybersecurity industry leader whose world-class exposure management products are trusted by our approximately 43,000 customers, including about 60% of the Fortune 500. But sometimes we like to give you a peek behind the curtain to share how we protect our own house against cyberattacks – and that’s what this blog is about. Today we’re sharing our experience adopting the supply-chain security framework SLSA, with the hopes that the lessons we learned will be helpful to you.
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Tenable and Thales Collaborate to Provide Cyber Defense Simulations to Better Secure Operational Technology Environments
April 18, 2024The heart of the Welsh Valleys is home to the Thales Ebbw Vale campus, a world-class facility jointly funded by the Welsh government as part of its regeneration program for the region. At the core of the facility is the Cyber Range, a simulation and virtualization platform for training, testing, exercising and R&D. Tenable has joined the lineup of solutions used to run real world simulations in this controlled environment.
- Vulnerability Management