Solo con abrir un documento en LibreOffice pueden vulnerar su computadora.


Debe tener mucho cuidado con los archivos de documentos que abre con el software LibreOffice en los próximos días.

Esto se debe a que LibreOffice contiene una grave vulnerabilidad de ejecución de código no parcheado que podría introducir malware en su sistema tan pronto como abra un archivo de documento creado con fines malintencionados.

LibreOffice es una de las alternativas más populares y de código abierto para la suite de Microsoft Office y está disponible para sistemas Windows, Linux y macOS.

A principios de este mes, LibreOffice lanzó la última versión 6.2.5 de su software que aborda dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849), pero el parche para el primero ahora se ha omitido, afirma el investigador de seguridad Alex Inführ. .

Aunque Inführ aún no ha revelado los detalles de la técnica que le permitieron eludir el parche, el impacto de esta vulnerabilidad sigue siendo el mismo, como se explica a continuación.

1.) CVE-2019-9848 : esta vulnerabilidad, que aún existe en la versión más reciente, reside en LibreLogo. LibreLogo permite a los usuarios especificar scripts preinstalados en un documento que se pueden ejecutar en varios eventos, como el mouse-over.

Descubierta por Nils Emmerich, la falla podría permitir a un atacante crear un documento malicioso que pueda ejecutar silenciosamente comandos arbitrarios de Python sin mostrar ninguna advertencia a un usuario objetivo.

"Al usar formularios y el evento OnFocus, incluso es posible obtener la ejecución del código cuando se abre el documento, sin la necesidad de un evento con el mouse".

Emmerich también lanzó una prueba de concepto para este ataque en su publicación de blog.

2.) CVE-2019-9849 : esta vulnerabilidad , que se puede solucionar instalando la última actualización disponible, podría permitir la inclusión de contenido arbitrario remoto dentro de un documento, incluso cuando el "modo oculto" esté habilitado.

Inführ ya ha notificado al equipo de LibreOffice el problema de la omisión, pero hasta que el equipo libere un parche para corregir la omisión, se recomienda a los usuarios actualizar o reinstalar el software sin macros o al menos sin el componente LibreLogo, siguiendo los pasos que se mencionan a continuación.

  • Abre la configuración para iniciar la instalación.
  • Seleccione la instalación "personalizada"
  • Expandir "Componentes opcionales"
  • Haga clic en "LibreLogo" y seleccione "Esta función no estará disponible"
  • Haga clic en Siguiente y luego instale el software