Alex Inführ, ricercatore nel campo della sicurezza, ha portato alla luce una vulnerabilità che affligge le suite da ufficio open source più famose: Apache OpenOffice e LibreOffice.

Questa falla permetterebbe, tramite un documento creato ad-hoc, di eseguire codice arbitrario senza nessun messaggio che avvisi in qualche modo l’utente.

Segnalato nei mesi scorsi come CVE-2018-16858, è descritto come un problema trasversale visto che permette ad un attacker di eseguire un file Python presente in un path qualsiasi della macchina sotto attacco.

L’attacco è reso ancora più semplice dal fatto che Python è fornito insieme all’installazione di entrambe le suite dunque non è necessario scaricare ed installare ulteriore software.

Inführ ha anche pubblicato un post sul suo blog con una PoC su LibreOffice che, con qualche aggiustamento, funzionerebbe anche su OpenOffice. Il bug è presente sulle piattaforme Linux e Windows.

La demo creata mostra un documento con un link colorato di bianco che riempie completamente la pagina, rendendosi praticamente invisibile agli occhi dell’utente che però sicuramente finirà per muovere il mouse sopra la pagina “vuota”, scatenando l’esecuzione del codice.

Al momento solo LibreOffice (nelle versioni 6.0.7 e 6.1.3) risulta patchata. Per OpenOffice, al momento, l’unica soluzione è quella di disabilitare il supporto a Python rimuovendo brutalmente il file pythonscript.py dalla cartella di installazione.

Elena Metelli

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.