URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 136199
[ Назад ]
Исходное сообщение
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через подстановку ссылки в документ"
Отправлено opennews , 06-Мрт-25 09:30 
Раскрыта информация об  уявзвимости (CVE-2025-1080), позволяющей добиться  выполнения произвольного  скрипта  без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время работы с документом. Проблеме присвоен высокий уровень опасности (7.2 из 10). Уязвимость устранена в недавних обновлениях LibreOffice 24.8.5 и 25.2.1...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62836

Содержание
Сообщения в этом обсуждении
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 09:30 
Сколько можно намайнить битков, заставив пользователя кликать на ссылки?
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено X86 , 06-Мрт-25 09:34 
Примерно 1-2.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Анонимище , 06-Мрт-25 09:50 
Это дофига, если что. Очень дофига.Без иронии
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:19 
А есть гайд, как это сделать, друг интересуется.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 11:00 
1 Биткоин сейчас стоит 91 290$ 8.529.154,87 руб.
Внимание вопрос, как это сделать?
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 21:41 
C 2011 года намайнить биткоин на компьютере нераельно. Надо строить ферму с асиками, да и дешёвое электричество надо.  А в России это невозможно, посадят. Не ну власти сами-то майнят.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 11:02 
в этих ваших инетрнетах пишут что майнинг через браузер не актуальный вариант.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 12:39 
Майнинг уже давно ни на чём, кроме асиков, не актуален.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Анонимище , 06-Мрт-25 21:17 
Исключение составляет майнинг на халявном оборудовании и электричестве, что как раз так в случае зловредов. Да, доход с одного устройства будет мал, ну так и затраты нулевые, плюс ботнет всегда может расти
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 07-Мрт-25 21:07 
Для мало-мальски вменяемого выхлопа _очень_ солидный ботнет нужен.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 09:53 
Теперь Libre Office не удастся выполнить скрипт через постановку ссылки в документ.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 09:53 
URI, URL и URN не одно и то же. Замечу что многие разработчики не задумываясь используют библиотеки и тем не менее тестируют только то что используют, а не то что возможно. Хотя извините, читать в чем именно проблема CVE нет времени.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:07 
> URI, URL и URN не одно и то же. Замечу что многие
> разработчики не задумываясь используют библиотеки и тем не менее тестируют только
> то что используют, а не то что возможно. Хотя извините, читать
> в чем именно проблема CVE нет времени.

Тестированием библиотек которые используются в разработке должен отдел безопасности, а не разработчик.  Если какой-то разработчик использует неисвестные библиотеки, а потом его программу используют, то это чья проблема? Конечного пользователя?

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:18 
не уязвимость, а штатный бэкдор.

>Уязвимость вызвана возможностью обращения к специфичной для LibreOffice URI-схеме вызова макросов 'vnd.libreoffice.command:'

Молодцы чё: одну пофиксили - остальные оставили.

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:20 
В общем доступе существует редакция комюнити эдишен или как-то так. Интересно, есть ли кроваво-энтерпрайзная и если да, то фиксят ли в ней дыры быстрее?
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:31 
Хорошо что в ламповом ОпенОфисе этой уязвимости нет!
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:38 
> Хорошо что в ламповом ОпенОфисе этой уязвимости нет!

А чего в нём ещё нет?

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 12:17 
И чего в нём только нет: этого нет, того нет.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 12:47 
В нем нет поддержки 64-разрядной Windows.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 12:58 
Странно, у меня работает.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 13:31 
Работать 32-разрядным OO в 64-разрядной WIN никто и не мешает.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 15:55 
И о чём тогда ваше сообщение? Что нет 64-разрядной версии? Так даже MS до недавнего времени (а может, и сейчас) советовал 32-битный свой офис.
Вообще, пока Intel не выпилит из x86 32 бита (а это на нашем веку вряд ли произойдёт), переход всего и вся на 64 бита — не самоцель.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 18:08 
X86S
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 07-Мрт-25 21:09 
Это тот, который умер, не успев родиться?
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 07-Мрт-25 09:24 
А ваше в чем сообщение? Отвлекаете людей от работы неверными сведениями про 32-битный офис.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Прохожий , 06-Мрт-25 13:59 
32-разрядный MS Office 2007 (его не бывает 64-разрядного) тоже без проблем работает в 64-разрядной WIN 10.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 14:14 
А русскоязычные словари Вы сторонние ставили? Или по какой причине пользуетесь самой ущербной версией MS Office? Даже 2003 корректнее и стабильнее. В крайнем случае Office XP, если Вам нужна обрубленная древность - всё лучше, чем Office 2007. А если поновее, то 2010 вполне отлично работает на Windows от XP до 11.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Прохожий , 06-Мрт-25 14:31 
У меня 2010 стандартный.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 16:01 
У меня 2024 и мне норм. Работает как бы не шустрее 2007-го.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 16:42 
Ну вы загнули... Office 2007 топ. и самый распространённый офис в универах.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 20:30 
Кстати, до сих пор получает обновления безопасности (если включить обновление).
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 08-Мрт-25 10:32 
> А русскоязычные словари Вы сторонние ставили?

Мне совершенного знания трех языков достаточно, чтобы не использовать данные компоненты.

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 08-Мрт-25 14:56 
И опечаток вы не допускаете, конечно.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:44 
>Уязвимость вызвана возможностью обращения к специфичной для LibreOffice URI-схеме вызова макросов 'vnd.libreoffice.command:' в реализации URI-схем для интеграции с сервером MS SharePoint.

Такое всегда случается с теми, кто связывается с продуктами Microsoft.

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 15:49 
https://chromewebstore.google.com/detail/gbkeegbaiigmenfmjfc.../
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Алконим , 06-Мрт-25 10:49 
Я один думаю что скрипты в документах это одна из больших ошибок, я прекрасно понимаю юскейсы, но для меня это все равно кажется ошибочным решением
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 10:58 
Да нету в них ничего страшного, если внутри компании используются или если отдел ИБ работает.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 12:21 
Даже если любые флешки в корпоратиный комп не засунуть, но, ведь, можно корпоративную в сторонний ком. И таки, притащить специальным образом сформированный документик.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Фрол , 07-Мрт-25 01:36 
Я как-то монтировал сеть в одном интересном заведении, так там даже джеки к езернет картам буквально под печатью пластилиновой были.

Много ты натаскаешь в такой конторе, если под ихним забором в некоторых местах даже машину не припаркуешь, через три минуты вооруженная охрана подьедет документы проверять.

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено АлексеМиК , 07-Мрт-25 20:38 
И правильно делают.
Волшебные буквы  ГБ
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Прохожий , 06-Мрт-25 14:04 
Полагаю, компаниям нет смысла беспокоиться из-за проблем в сабже, ибо используют они исключительно MSO.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 18:05 
Им стоит беспокоиться о гораздо больших проблемах.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 18:32 
Каких, например? А то я работал в прошлом году в одной компании из TOP500, там все рабочие станции на МС Виндоус, с Офисом и вот этим всем. И что-то они там не беспокоятся об этом особо. Может им подсказать чего?
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 20:35 
499-я ? Ок. Но это очень смело называться топ500. Да и просто потому, что ИБ там вообще никому не vsралась.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 13:48 
> для интеграции с сервером MS SharePoint

никогда не понимал эту логику опенсорсников, интегрировать с продуктами мс

"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Прохожий , 06-Мрт-25 14:03 
100% документированной функциональности LibreOffice обеспечены только под Windows. В других системах есть ограничения. Впрочем 100% функциональности MS Office также обеспечиваются только под Windows (в сравнении имеются в виду нативные версии под другими ОС).
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Bottle , 06-Мрт-25 16:21 
Очередное доказательство того, что подключение любой софтины, утюга и чайника к интернету не есть хорошо.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 06-Мрт-25 20:59 
Как хорошо, что в AOO нет этого всего. Настоящий офисный продукт от ТРУЪ инторпрайз корпорации, в то время как LO пишут энтузиасты по фану, то есть солиднее юзать AOO, а не новомодное сму зи LO.
"Уязвимость в LibreOffice, позволяющая выполнить скрипт через..."
Отправлено Аноним , 08-Мрт-25 11:45 
Сейчас посмотрел. В данный момент сайты LO и OO заблокированы.