TR-19-093 (LibreOffice Güvenlik Güncellemesi Yayınladı)

Genel Bilgi

Yapısında bulunan bazı önyüklemeli scriptlerin çalıştırılabileceği bir ofis yazılımı olan LibreOffice CVE-2019-9848 (programlanabilir vektörel LibreLogo paketinden) ve CVE-2019-9849  kodlu zafiyetleri gidermek maksadıyla 6.2.5 versiyonunu yayınladı. Ancak bazı raporlarda güncelleme sonrasında LibreLogo bileşeni üzerindeki onfocus, mouse-hover gibi bazı aksiyonların CVE-2019-9848 ( uzaktan komut çalıştırma) zafiyetini tetikleyebileceği belirtilmektedir.

Etki

Kritik önem düzeyindeki mevcut güvenlik açıklıkları nedeniyle etkilenen sistemlerin siber saldırganlar tarafından kontrol altına alınması ihtimal dâhilindedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), kullanıcı ve sistem yöneticilerine yüksek önem derecesindeki zafiyetin çözümü için LibreOffice Güvenlik Önerileri sayfasını inceleyerek gerekli güncellemeleri yapmalarını ve güncelleme sırasında opsiyonel bileşenlerden olan LibreLogo özelliğinin devre dışı bırakılmasını tavsiye etmektedir. 

Kaynaklar

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9848

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9849

https://www.libreoffice.org/about-us/security/advisories/

2019-07-29