[nl-users] Een verontrustend bericht

Ik las vanavond dit:

Bron Security.nl: https://www.security.nl/posting/549757

Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden
zaterdag 10 februari 2018, 09:39 door Redactie, 35 reacties
Laatst bijgewerkt: 10-02-2018, 11:24

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang 
tot lokale bestanden van de gebruiker geven, zo waarschuwen de 
ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de 
Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk 
om via een url data in een document te laden, bijvoorbeeld van een 
programmeerinterface (api).

Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in 
een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen. 
Andere formules in het document kunnen van die geïnjecteerde data 
gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde 
data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren 
zou een aanvaller het slachtoffer wel eerst een kwaadaardig document 
moeten laten openen.

"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook 
te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail 
Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt 
op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt 
kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om 
te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn 
kwetsbaar.

Wat ik er mee moet weet ik nog niet zo precies, maar denk dat ik dan 
6.0.1 maar installeer...

Jan


--
Unsubscribe instructions: E-mail to users+unsubscribe@nl.libreoffice.org
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/nl/users/
All messages sent to this list will be publicly archived and cannot be deleted