LibreOffice podatny na atak. Łatka niby jest, ale niewiele naprawia

LibreOffice, darmowy i otwarty pakiet biurowy, dostał niedawno porcję poprawek bezpieczeństwa. Mimo tego wciąż jest podatny na atak. The Document Foundation każe nam jeszcze poczekać.

Podatność jest związana z LibreLogo – prostym językiem programowania, konwertowanym do Pythona. By przeprowadzić atak, trzeba podłączyć polecenie uruchomienia kodu (LibreLogo Run) do akcji w dokumencie i gotowe. LibreOffice wykona szkodliwy kod w Pythonie.

Luka CVE-2019-9848 została odkryta 4 czerwca przez deweloperów pakietu biurowego. 1 lipca wydana została wersja 6.2.5 pakietu, zawierająca poprawkę. Informacje o. luce zostały ujawnione 26 lipca.

Niedługo po tym użytkownicy pakietu zorientowali się, że luka wciąż jest obecna. Poprawka rozwiązała problem tylko częściowo. Tymczasem na GitHubie jest przynajmniej jeden przykładowy exploit.

The Document Foundation informuje, że poprawka w. wersji 6.2.5 LibreOffice działa tylko częściowo, gdyż podatność można wykorzystać na wiele sposobów. Pełna poprawka zostanie udostępniona w przyszłym tygodniu. Znajdzie się w wersjach 6.2.6 i nadchodzącej 6.3 pakietu biurowego. Na razie najlepiej wyłączyć LibreLogo w swoim LibreOffice.

Jakby tego było mało, The Document Foundation jeszcze niedawno polecała wersję 6.1.6 jako odpowiednią dla firm. Luka pozwalająca na wykonanie szkodliwego kodu jest obecna w tej wersji pakietu i nie było w planach żadnej poprawki. Fundacja prezentowała tę wersję na swojej stronie jako stabilniejszą i lepiej przetestowaną. Po rozmowie z El Reg dziurawą wersję 6.1.6 zastąpiła trochę mniej dziurawa 6.2.5. Marne pocieszenie.