Se ha descubierto una vulnerabilidad grave en LibreOffice que aún no ha sido reparada y que permitiría la ejecución de código para la instalación de malware en el sistema tan pronto como se abra un archivo de documento creado con fines malintencionados.
Siendo una de las alternativas de código abierto más populares a la suite ofimática de Microsoft, LibreOffice está disponible para sistemas Windows, Linux y macOS.
A principios de julio, LibreOffice lanzó la versión 6.2.5, que aborda dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849). Sin embargo, según afirma el investigador de seguridad Alex Inführ, el parche para la primera vulnerabilidad ha sido omitido.
La vulnerabilidad CVE-2019-9848, que aún existe en la versión más reciente, está relacionada con LibreLogo, un script de gráficos vectoriales que se envía de forma predeterminada con LibreOffice. Este script permite a los usuarios indicar qué scripts preinstalados en el documento se pueden ejecutar en varios eventos, como el mouse-over. Fue descubierta por Nils Emmerich, que describió cómo la falla podría permitir a un atacante crear un documento malicioso que pudiera ejecutar de forma oculta comandos arbitrarios de Python sin mostrar ninguna advertencia al usuario objetivo. El principal problema reside en que el código no es traducido correctamente pero proporciona una secuencia de comandos en Python similar al código del script legítimo. Al usar formularios y el evento OnFocus, se podría forzar la ejecución del código al abrirse el documento sin la necesidad de que se generase el evento con el ratón. Emmerich lanzó una prueba de concepto para este ataque en su blog.
La vulnerabilidad CVE-2019-9849, que se puede resolver instalando la última actualización disponible, podría permitir la inclusión de contenido arbitrario remoto dentro de un documento, incluso con el «modo oculto» habilitado. Pese a que el modo oculto no está habilitado de forma predeterminada, los usuarios pueden activarlo para restringir solo a ubicaciones de confianza los recursos remotos que pueden emplear los documentos para recuperar datos.
Inführ ya ha notificado al equipo de LibreOffice el problema de la omisión, pero hasta que el equipo libere un nuevo parche para corregirla se recomienda a los usuarios actualizar o reinstalar el software sin macros o al menos sin el componente LibreLogo. Para ello se deben seguir los siguiente pasos:
- Abrir la Configuración para iniciar la instalación.
- Seleccionar la instalación «Personalizada».
- Seleccionar «Componentes opcionales».
- Desactivar «LibreLogo» seleccionando la opción «Esta función no estará disponible».
- Pulsar en «Siguiente» e instalar el software.
Más información:
- Just Opening A Document in LibreOffice Can Hack Your Computer, en The Hacker News.
- Vulnerabilidad CVE-2019-9848, en INCIBE-CERT.
- Vulnerabilidad CVE-2019-9849, en INCIBE-CERT.
Deja una respuesta