Chi tiết lỗ hổng: Lỗ hổng này, được theo dõi với mã CVE-2025-0514, ảnh hưởng đến các phiên bản LibreOffice trước phiên bản 24.8.5. Nó xoay quanh việc xác thực không đúng các URL không phải tệp được hiểu là các đường dẫn tệp Windows thông qua hàm ShellExecute.
Cách khai thác: Lỗ hổng này lợi dụng tính năng kích hoạt siêu liên kết của LibreOffice, thường được kích hoạt bằng cách nhấn CTRL+click. Những URL không phải tệp được tạo đặc biệt, như những URL sử dụng các phương thức URI thay thế hoặc kỹ thuật mã hóa, có thể vượt qua các biện pháp bảo vệ và thực thi mã độc.
Phần vá và biện pháp giảm thiểu: Các nhà phát triển LibreOffice đã phát hành phiên bản 24.8.5 vào ngày 25 tháng 2 năm 2025, trong đó giới thiệu các kiểm tra xác thực nâng cao để chặn các hiểu biết về URL không phải tệp dưới dạng đường dẫn tệp cục bộ. Kỹ sư Caolán McNamara từ Collabora Productivity và nhà phát triển Stephen Bergman từ allotropia đã dẫn dắt việc sửa lỗi này.
Rủi ro và tác động: Lỗ hổng này tạo ra một rủi ro đáng kể, khi mà các kẻ tấn công có thể nhúng các liên kết độc hại vào các tài liệu (ví dụ: .odt, .ods) mà có thể thực thi mã tùy ý khi người nhận tương tác với nội dung, ngay cả khi không bật macro. Nhóm phát triển khuyến nghị người dùng cập nhật ngay lập tức để giảm thiểu rủi ro này.
Lỗ hổng này làm nổi bật tầm quan trọng của việc cập nhật phần mềm thường xuyên và các kiểm tra xác thực nâng cao để ngăn chặn các vectơ tấn công dựa trên tài liệu thường được phân phối qua các chiến dịch lừa đảo.
