Vulnerabilità per LibreOffice ed Apache OpenOffice
Alex Inführ, ricercatore nel campo della sicurezza, ha portato alla luce una vulnerabilità che affligge le suite da ufficio open source più famose: Apache OpenOffice e LibreOffice.
Questa falla permetterebbe, tramite un documento creato ad-hoc, di eseguire codice arbitrario senza nessun messaggio che avvisi in qualche modo l’utente.
Segnalato nei mesi scorsi come CVE-2018-16858, è descritto come un problema trasversale visto che permette ad un attacker di eseguire un file Python presente in un path qualsiasi della macchina sotto attacco.
L’attacco è reso ancora più semplice dal fatto che Python è fornito insieme all’installazione di entrambe le suite dunque non è necessario scaricare ed installare ulteriore software.
Inführ ha anche pubblicato un post sul suo blog con una PoC su LibreOffice che, con qualche aggiustamento, funzionerebbe anche su OpenOffice. Il bug è presente sulle piattaforme Linux e Windows.
La demo creata mostra un documento con un link colorato di bianco che riempie completamente la pagina, rendendosi praticamente invisibile agli occhi dell’utente che però sicuramente finirà per muovere il mouse sopra la pagina “vuota”, scatenando l’esecuzione del codice.
[youtube https://www.youtube.com/watch?v=gChvv570faQ?feature=oembed&w=620&h=349]
Al momento solo LibreOffice (nelle versioni 6.0.7 e 6.1.3) risulta patchata. Per OpenOffice, al momento, l’unica soluzione è quella di disabilitare il supporto a Python rimuovendo brutalmente il file pythonscript.py dalla cartella di installazione.
Source: https://www.miamammausalinux.org/2019/02/vulnerabilita-per-libreoffice-ed-apache-openoffice/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
