Aggiornamenti recenti Aprile 30th, 2024 10:21 AM
Lug 31, 2019 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 1
Gioie e dolori della filosofia open source. A mettere in luce i secondi questa volta è LibreOffice, il pacchetto di programmi per l’ufficio che negli ultimi anni si è guadagnato un discreto spazio a livello di utenti.
Qual è il problema? Che dopo aver corretto una clamorosa falla di sicurezza, gli sviluppatori hanno pubblicato la nuova versione 6.2.5 sul sito sconsigliandone però l’utilizzo generalizzato. Per “l’uso in ambito professionale” viene consigliata la vecchia versione 6.1.6.
Si tratta di un’abitudine tipica dei progetti open source, ispirata da una certa prudenza nel distribuire le nuove release dei programmi che, effettivamente, potrebbero avere qualche bug o incompatibilità non ancora rilevata. In questo caso, però, questa forma di “prudenza” è decisamente fuori luogo. La versione 6.2.5, infatti, contiene una patch che corregge una falla di sicurezza particolarmente grave.
La vulnerabilità (CVE-2019-9848) è stata individuata da Nils Emmerich, che nel suo report spiega come sia possibile sfruttarla per trasformare un documento di LibreOffice in un perfetto vettore di attacco.
Il primo problema, spiega il ricercatore, è che LibreOffice esegue i comandi Macro senza chiedere alcuna conferma all’utente. Questo anche se si imposta il massimo livello di sicurezza.
Il secondo riguarda la presenza in LibreOffice di un componente chiamato LibreLogo, che permette di programmare in Python attraverso un sistema di controllo basato su grafica vettoriale. Ciò di cui si è accorto Emmerich, è che utilizzando un comando Macro è possibile sfruttare LireLogo per eseguire un comando.
Il documento qui sopra, per esempio, avvia la calcolatrice di Windows quando il cursore viene posizionato o semplicemente passa (non è necessario alcun clic) sulla scritta “Run”. Modificandolo, sarebbe possibile eseguire un malware.
Insomma: sul sito di LibreOffice viene suggerito di installare una versione “stabile” che contiene una vera voragine di sicurezza. Speriamo che le segnalazioni circolate in queste ore arrivino alle orecchie dei responsabili in modo che possano prendere provvedimenti.
Aggiornamento: Dall’ufficio stampa di LibreOffice ci è arrivata in data 02/08/2019 la seguente nota:
Il download di LibreOffice 6.1.6 è stato rimosso dal sito, per cui gli utenti non possono più scaricare la versione che non contiene la patch di sicurezza. Inoltre, le macro integrate all’interno di LibreOffice, quelle che possono essere attivate senza avvertimenti per l’utente anche quando la sicurezza è configurata sul livello più alto, sono state verificate in occasione della soluzione di un altro CVE e non consentono l’esecuzione di codice esterno alla macro stessa.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Apr 26, 2024 0
Devi essere connesso per inviare un commento.
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...
Il download di LibreOffice 6.1.6 è stato rimosso dal sito, per cui gli utenti non possono più scaricare la versione che non contiene la patch di sicurezza. Inoltre, le macro integrate all’interno di LibreOffice, quelle che possono essere attivate senza avvertimenti per l’utente anche quando la sicurezza è configurata sul livello più alto, sono state verificate in occasione della soluzione di un altro CVE e non consentono l’esecuzione di codice esterno alla macro stessa.