Devemos estar extremamente totalmente atentos a todos os ficheiros abertos pelo LibreOffice nos próximos tempos.
Tudo isso porque o LibreOffice possui uma vulnerabilidade de execução de código que pode ser utilizada por atores maliciosos para comprometer a sua máquina.
A má notícia é que ainda não existe correção para essa vulnerabilidade.
O LibreOffice é uma popular alternativa à suite Microsoft Office da Microsoft e disponível para Windows, Mac e Linux.
No início deste mês, o LibreOffice lançou a última versão 6.2.5 do seu software e que resolve duas vulnerabilidades críticas (CVE-2019-9848 e CVE-2019-9849), mas o patch para o primeiro já foi contornado, afirma o investigador Alex Inführ na sua conta do Twitter.
Bypassed successfully the fix of CVE-2019-9848 in LibreOffice 6.2.5. It’s time to write a new email 🙂
— alex (@insertScript) July 26, 2019
Embora Inführ ainda não tenha divulgado detalhes da técnica que lhe permitiu contornar o patch, o impacto dessa vulnerabilidade permanece o mesmo, conforme explicado abaixo.
CVE-2019-9848: Esta vulnerabilidade, que ainda existe na versão mais recente, reside no LibreLogo, um script de gráficos vetoriais que é introduzido por padrão com o LibreOffice.
LibreLogo permite aos utilizadores especificar scripts pré-instalados num documento que pode ser executado em vários eventos, como o passar do rato, etc.
Descoberto por Nils Emmerich, a falha poderia permitir que um atacante criasse um documento malicioso que pudesse executar silenciosamente comandos python arbitrários sem exibir nenhum aviso para o utilizador final.
“The big problem here is that the code is not translated well and just supplying python code as the script code often results in the same code after translation,” Emmerich said.
“Using forms and OnFocus event, it is even possible to get code execution when the document is opened, without the need for a mouse-over event.”
Emmerich também disponibilizou uma prova de conceito para este ataque no seu blog.
CVE-2019-9849: Esta vulnerabilidade, que pode ser corrigiada ao instalar a última atualização libertada, pode permitir a inclusão de conteúdo arbitrário remoto num documento, mesmo quando o ‘stealth mode’ está ativado.
O modo sealth não está ativo por padrão, mas os utilizadores podem ativá-lo para informar os documentos do LibreOffice apenas a incluir ficheiros remotos de fontes confiáveis.
Como medida de prevenção, o investigador sugere que se efetuem os seguintes passos para proteger o seu computador enquanto a LibreOffice não emite uma correção ao patch lançado há dias:
- Open the setup to start the installation
- Select “Custom” installation
- Expand “Optional Components”
- Click on “LibreLogo” and select “This Feature Will Not Be Available”
- Click Next and then Install the software