L’attuale versione di LibreOffice – la 6.2.5 – è vulnerabile a una code execution che potrebbe essere usata come vettore per veicolare malware sul dispositivo. Basta aprire un documento opportunamente modificato per eseguire comandi in python senza che all’utente sia mostrato alcun avviso.
La vulnerabilità è la CVE-2019-9848 ed è stata inizialmente scoperta a giugno dal ricercatore Nils Emmerich, che ha anche reso disponibile un proof-of-concept.
Gli sviluppatori di LibreOffice credevano di aver provveduto a chiudere la falla con la versione 6.2.5 rilasciata il 1 Luglio, invece pochi giorni fa un altro ricercatore, Alex Inführ, ha affermato di aver trovato la stessa vulnerabilità anche nella nuova versione.
Bypassed successfully the fix of CVE-2019-9848 in LibreOffice 6.2.5. It's time to write a new email 🙂
— alex (@insertScript) July 26, 2019
Al momento l’unico modo per proteggersi è disabilitare il componente LibreLogo, come spiegato qui, e attendere una nuova patch.