Különös hibára lett figyelmes nemrég a The Register újságírója: egy olyan problémát szúrt ki a nyílt forráskódú irodai programcsomagban, a LibreOffice-ban, amit elvileg már kijavítottak a fejlesztők. A jelek szerint azonban mégsem, ami miatt viszont könnyen bekaphat a felhasználó egy vírust.

A hiba alapvetően három dologból tevődik össze. Egyrészt a LibreLogo nevű funkcióval van probléma, ami a programozás alapjainak elsajátításához használható. Ehhez elég csak begépelni a parancsokat egy dokumentumba, majd megnézni, ahogy a teknős formájú kurzor ezek hatására hogyan kezd el rajzolni.

A LibreOffice ezeket a parancsokat Python-utasításokra fordítja le, majd átadja azt a programnyelv interpreterének. Ezzel viszont az a probléma, hogy mindezt ellenőrizetlenül teszi meg, vagyis gyakorlatilag bármilyen utasítás átcsúszhat rajta.

A másik probléma, hogy a LibreOffice makrói megbízhatónak minősülnek – még az is, ami a LibreLogót futtatja. Hiába állítja valaki magasra a makrók biztonsági ellenőrzését, azok figyelmeztetés nélkül futnak tovább.

A legnagyobb probléma, hogy a LibreLogo önállóan is átadhatja a kódokat a Pythonnak, hogy futtassa le azokat.

Mindez azt jelenti, hogy bárki készíthet egy olyan, ártalmas kódot, amely automatikusan lefut. Ha ezt valaki egy e-mail formájában elküldi, a megnyitáskor automatikusan elindulhat az ártalmas program. A The Register szerint a Microsoft Outlook szerencsére "csak olvasható" jogosultsággal nyitja meg a dokumentumot, így az elviekben nem tud kárt okozni, más levelezőknél azonban ez nem biztos, hogy így működik. Ugyanakkor ha megnyitották a csatolmányt, a benne lévő kód akkor is lefutott.

The Register

A LibreOffice fejlesztői elvileg befoltozták a biztonsági réseket a június 20-án kiadott 6.2.5-ös verzióval, ám a tapasztalatok szerint továbbra is megtalálható a sérülékenység a programban.

A megoldás az lehet, ha a biztonsági rés tényleges befoltozásáig eltávolítják a felhasználók a LibreLogót a programcsomagból.

Ha máskor is tudni szeretne hasonló veszélyekről, lájkolja a HVG Tech rovatának Facebook-oldalát.