Уязвимость в LibreOffice позволяет запустить вредоносные файлы

Уязвимость в LibreOffice позволяет запустить вредоносные файлы

Уязвимость в LibreOffice позволяет запустить вредоносные файлы

Организация Document Foundation предупредила пользователей LibreOffice об опасной уязвимости, позволяющей злоумышленникам запустить исполняемые вредоносные файлы на устройствах жертв.

Проблема, которую отслеживают под идентификатором CVE-2025-0514, получила 7,2 балла по шкале CVSS. Известно, что баг затрагивает версии офисного пакета до 24.8.5.

Причина уязвимости кроется в способе обработки гиперссылок в документах. Например, в Windows по такой ссылке можно перейти, зажав CTRL и кликнув по ней. В этом случае URL передаётся функции ShellExecute для обработки.

У LibreOffice есть механизм блокировки путей к исполнительным файлам, которой должен защищать пользователей от вредоносных программ. Однако в версии 24.8.5 можно обойти этот защитный принцип.

Атакующему нужно подготовить специальные URL, которые функция ShellExecute будет интерпретировать как пути к файлам в Windows. Вредоносная гиперссылка при активации запустит файл на устройстве.

К счастью, в Document Foundation уже подготовили патч. Версия LibreOffice 24.8.5 избавлена от этого изъяна, всем пользователям Windows рекомендуется обновиться до неё.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Firefox для Android получил защиту DNS-over-HTTPS

Специалисты Mozilla реализовали поддержку технологии «DNS поверх HTTPS» в Android-версии браузера. После установки Firefox 143 опцию можно включить через настройки, выбрав режим повышенной защиты.

В настоящее время быстродействие новой функции безопасности мобильного браузера тестируют партнеры вендора — провайдеры DoH из США (Cloudflare, Comcast) и Канады. По итогам будет принято решение по вопросу дефолтной активации в ряде регионов.

До сих пор DoH-зашита была доступна только в десктопных Firefox. Поскольку ее применение может затормозить загрузку страниц в браузере, участники проекта уделяют много внимания производительности и уже повысили ее на 61%.

 

 

Преобразование адресов по запросам теперь происходит столь же быстро, как и без DNS-шифрования. Разница, по словам Mozilla, составляет всего пару миллисекунд.

Возможность повышения приватности за счет использования DoH предоставлена также пользователям Google Chrome, в том числе его версии для Android, — но лишь как опция, которая по умолчанию отключена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru