Vulnerabilità critica su LibreOffice: si può prendere il controllo della periferica.

 Vulnerabilità CVE-2019-9848.

 

LibreOffice è suite per ufficio  potente e gratuita, usata da milioni di persone in tutto il mondo.  LibreOffice include diverse applicazioni che lo rendono la suite per ufficio Free e Open Source più versatile sul mercato: Writer (elaborazione testi), Calc (fogli di calcolo), Impress (presentazioni), Draw (grafica vettoriale e diagrammi di flusso), Base (database), e Math (editor di formule).

Recentemente è stato segnalato un difetto che potrebbe compromettere l’integrità di un sistema semplicemente aprendo un file malevolo.

Secondo i rapporti, questa condizione esiste a causa di una vulnerabilità di esecuzione del codice che, se sfruttata, potrebbe consentire a un hacker di iniettare malware nel sistema dopo che l’utente interagisce con il file appositamente creato. Questo pacchetto software è una delle alternative più popolari all’uso della suite Microsoft Office ed è adatto ai sistemi Windows, Linux e macOS.

libreoffice_cve_9848 -Vulnerabilità CVE-2019-9848



Solo poche settimane fa, gli sviluppatori di LibreOffice hanno rilasciato l’ultima versione del loro software, aggiungendo correzioni per due gravi vulnerabilità (tracciate come CVE-2019-9848 e CVE-2019-9849). Tuttavia, gli hacker sono riusciti a sviluppare un metodo per aggirare le correzioni implementate di recente, menzionati specialisti della sicurezza delle applicazioni web. Anche se i dettagli di questo “contrattacco” sono ancora sconosciuti, l’impatto delle vulnerabilità è noto per rimanere molto rilevante.

Vulnerabilità CVE-2019-9848

La prima vulnerabilità (CVE-2019-9848), ancora esistente nell’ultima versione, risiede in LibreLogo, uno script di grafica vettoriale che viene fornito di default con il pacchetto LibreOffice. Questa funzione consente agli utenti di specificare script preinstallati in un documento che verrà eseguito in determinate circostanze, come le interazioni del mouse.

Per quanto riguarda la vulnerabilità, potrebbe permettere ad un hacker di creare un documento malevolo per eseguire comandi python arbitrari senza che la vittima sia in grado di rilevare questa attività non autorizzata. Nils Emmerich, il ricercatore che ha scoperto la vulnerabilità, ha persino rilasciato una proof-of-concept per sfruttare questo particolare difetto.



CVE-2019-9849

Lo sfruttamento della seconda vulnerabilità (CVE-2019-9849) consentirebbe l’iniezione di codice arbitrario remoto in un documento. Il difetto persiste anche se la “Stealth Mode” di LibreOffice è abilitata. Questa funzione non è abilitata di default, ma gli utenti possono attivarla per dire a un documento di LibreOffice di recuperare risorse remote solo da postazioni attendibili.

Si raccomanda  di aggiornare o reinstallare le versioni di LibreOffice per rimuovere il componente LibreLogo. (almeno fino a quando l’azienda non rilascia le patch di aggiornamento completo).