Wszyscy zapewne znamy ostrzeżenia anty-phishingowe mówiące o ostrożności w otwieraniu załączników maili od odbiorców, których nie znamy. Dlaczego nie powinno się otwierać załączników w podejrzanie wyglądających mailach ? Jeśli załącznikiem jest plik wykonywalny, to sprawa jest jasna – może on wykonać w naszym systemie dowolny plik. Co natomiast z plikami tekstowymi czy graficznymi ? Czy wyświetlenie ich treści wiążę się z wykonaniem kodu, np. wirusa ? Może, ale pod pewnymi warunkami. Pierwszym jest zezwolenie na wykonanie makra (czyli właśnie dowolnego kodu) umieszczonego w pliku.
Drugim warunkiem, który nie wymaga żadnych zezwoleń użytkownika, jest obecność podatności (“dziury”) w oprogramowaniu, które wczyta i wyświetli plik. Przykładem takiej dziury jest ujawniona ostatnio podatność w darmowych pakietach biurowych OpenOffice oraz LibreOffice (CVE-2018-16858). Analiza formatu pliku tych pakietów (OpenDocument v.1.2) ujawniła, że można osadzić w nich odnośniki (hyperlinki), które po najechaniu kursorem myszy wykonają pewnie akcje z biblioteki języka Python zintegrowanej z pakietem biurowym. Osoba tworząca dokument może wskazać do wykonania konkretną funkcję z tej biblioteki i podać jej parametry. Okazuje się, że biblioteka ta ma całkiem dużo różnych funkcji, w tym też taką, która wykona dowolne (wybrane przez tworzącego dokument) polecenie w systemie operacyjnym na którym dokument będzie odtwarzany. Wszystko to razem nadaje się już na phishing jak znalazł. Należy wspomnieć, że podatność nie była trudna do znalezienia, wymagała wnikliwej analizy standardu i kilku eksperymentów. Bezpieczne są obecnie LibreOffice 6.0.7/6.1.3, OpenOffice nie ma łatki.