LibreOffice lançado recentemente 6.2.5corrige duas grandes vulnerabilidades de segurança (CVE-2019-9848 e CVE-2019-9849) e corrige um erro de execução de código que pode levar à infecção por malware após a abertura de um documento especialmente criado. Enquanto os desenvolvedores da popular suíte de escritório de código aberto pensavam que estavam fugindo dessa bala, um pesquisador de segurança chamado Alex Inführ acrescentou Twitter e anunciou que havia ignorado com êxito a atualização do CVE-2019-9848 no LibreOffice 6.2.5, a versão mais recente disponível e corrigida.
Corrigido CVE-2019-9848 no LibreOffice 6.2.5 contornado com sucesso. É hora de escrever um novo email
– alex (@insertScript) 26 de julho de 2019
Embora a resolução de problemas leve a um método conhecido de explorar a vulnerabilidade, um invasor pode usar outros métodos para obter os mesmos resultados. Além disso, sempre há a possibilidade de que uma correção introduza uma nova maneira de aproveitar o erro bloqueado. O Sr. Inführ não deu detalhes de como ele conseguiu contornar o LibreOffice, pois isso comprometeria a segurança de mais de 200 milhões de pessoas que atualmente estão usando o pacote de produtividade de código aberto.
CVE-2018-9848 refere-se ao script programável do LibreOffice para gráficos vetoriais de tartarugas, que aparentemente pode ser manipulado para executar qualquer comando Python. Um invasor pode explorar o recurso de evento do documento para acionar o LibreLogo e executar código malicioso incorporado em um documento especialmente criado. A partir daí, os comandos do Python são executados sem supervisão, sem aviso ao usuário ou solicitando sua permissão. Se você aceitar que o bug não foi corrigido, mesmo na versão mais recente, isso afeta a versão atual e todas as versões anteriores do pacote Office.
Se sim, o que as pessoas podem fazer sobre isso? Até o LibreOffice lançar uma nova correção que corrige a solução alternativa do Inführ, podemos instalar o conjunto excluindo o componente "LibreLogo". Você pode escolher quais componentes deseja instalar, selecionando a opção Instalação personalizada, expandindo a lista Componentes opcionais e clicando no ícone do disco rígido para desmarcar o componente LibreLogo. Se você já instalou o LibreOffice no seu computador, poderá executar o instalador novamente e escolher a opção mostrada abaixo para alterá-lo.
Não há casos conhecidos de exploração devido à vulnerabilidade mencionada acima, e a próxima correção proativa mostra que softwares de código aberto como o LibreOffice ainda são adequadamente ados por uma comunidade animada de testadores e repórteres. Com mais de 1,2 Atualmente, bilhões de usuários no Microsoft Office continuam sendo o alvo número um de atores mal-intencionados. Com o crescimento da base de usuários do LibreOffice, no entanto, os hackers estão cada vez mais prestando atenção a ele.
Você usa o LibreOffice ou prefere outro pacote de escritório? Conte-nos sua seleção nos comentários abaixo e ajude-nos a espalhar o aviso compartilhando esta postagem em nossas redes sociais em Facebook e Twitter.
