LibreOffice vulnerabile a una code execution

Vulnerability

L’attuale versione di LibreOffice – la 6.2.5 – è vulnerabile a una code execution che potrebbe essere usata come vettore per veicolare malware sul dispositivo. Basta aprire un documento opportunamente modificato per eseguire comandi in python senza che all’utente sia mostrato alcun avviso.

La vulnerabilità è la CVE-2019-9848 ed è stata inizialmente scoperta a giugno dal ricercatore Nils Emmerich, che ha anche reso disponibile un proof-of-concept.

Gli sviluppatori di LibreOffice credevano di aver provveduto a chiudere la falla con la versione 6.2.5 rilasciata il 1 Luglio, invece pochi giorni fa un altro ricercatore, Alex Inführ, ha affermato di aver trovato la stessa vulnerabilità anche nella nuova versione.

Al momento l’unico modo per proteggersi è disabilitare il componente LibreLogo, come spiegato qui, e attendere una nuova patch.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.