เมื่อเดือนที่แล้ว LibreOffice ปล่อยแพตช์ตามรอบปกติเป็นรุ่น 6.2.5 โดยส่วนหนึ่งของแพตช์คือการแก้ช่องโหว่ CVE-2019-9848 ที่เปิดทางให้แฮกเกอร์สร้างไฟล์มุ่งร้ายเพื่อรันสคริปต์ยึดเครื่องได้ โดยหลังจากแพตช์ออกมาแล้วช่วงปลายเดือนก็มีการเปิดเผยรายละเอียดช่องโหว่ออกมา แต่พบว่าแพตช์นั้นไม่สามารถอุดช่องโหว่ได้ครบถ้วน ทำให้ต้องการเตรียมแพตช์ใหม่อีกครั้ง
ช่องโหว่ CVE-2019-9848 เป็นฟีเจอร์ LibreLogo ที่ทำให้สามารถฝังสคริปต์เพื่อวาดภาพกราฟิกได้ แต่ช่องโหว่กลับเปิดทางให้แฮกเกอร์รันสคริปต์ไพธอน จนนำไปสู่การรันโค้ดอื่นๆ ได้ในที่สุด และตัว LibreOffice จะยังรันสคริปต์เสมอแม้จะตั้งค่าความปลอดภัยระดับสูงสุดไว้แล้วก็ตาม
ทางโฆษกของ LibreOffice ระบุว่าทางโครงการกำลังพิจารณามอง LibreLogo เป็นส่วนขยายแทนที่จะเป็นส่วนหนึ่งของ LibreOffice เพื่อเพิ่มความปลอดภัยในอนาคต
ช่องโหว่กำลังถูกแพตช์ในเวอร์ชั่น 6.2.6 มีกำหนดออกวันที่ 12 - 18 สิงหาคมนี้ และรุ่น 6.3.0 มีกำหนดออก 5 - 11 สิงหาคมนี้
ที่มา - The Register
ภาพโดย EsaRiutta