LibreOffice și OpenOffice au lansat actualizări pentru a înlătura o vulnerabilitate care face posibil ca un atacator să manipuleze documentele pentru a apărea ca semnate de o sursă de încredere.
Deși severitatea vulnerabilității este clasificată ca fiind moderată, implicațiile ar putea fi grave. Semnăturile digitale utilizate în macro-urile de documente sunt menite să ajute utilizatorul să verifice dacă documentul nu a fost modificat și că poate fi de încredere.
Permiterea oricui să semneze singuri documente ce conțin macro-uri și să le facă să pară de încredere este o modalitate excelentă de a înșela utilizatorii să ruleze coduri malițioase.
Descoperirea acestei vulnerabilități, referință CVE-2021-41832 pentru OpenOffice, a fost opera a patru cercetători de la Universitatea Ruhr Bochum. Aceeași vulnerabilitate afectează și LibreOffice, referință CVE-2021-25635.
Abordarea riscului
Dacă utilizați oricare dintre pachetele office open-source, vă recomandăm să faceți imediat upgrade la cea mai recentă versiune disponibilă. Pentru OpenOffice, acesta ar fi 4.1.10 și versiuni ulterioare, și pentru LibreOffice, 7.0.5 sau 7.1.1 și versiuni ulterioare.
Deoarece niciuna dintre aceste două aplicații nu oferă actualizare automată, ar trebui să o faceți manual descărcând cea mai recentă versiune din centrele de descărcare respective – LibreOffice, OpenOffice.
Dacă utilizați Linux și versiunile menționate anterior nu sunt disponibile încă în managerul de pachete al distribușiei dvs., vă recomandăm să descărcați pachetul „deb” sau „rpm” din Download Center sau să compilați pachetul sub formă de cod sursă.
Dacă actualizarea la cea mai recentă versiune nu este posibilă din orice motiv, puteți opta oricând pentru a dezactiva complet caracteristicile macro din pachetul office sau pentru a evita încrederea în documentele care conțin macro-uri.
Pentru a configura securitatea macro în LibreOffice, accesați Tools → Options → LibreOffice → Security și faceți clic pe ‘Macro Security’.
În noua casetă de dialog, puteți selecta dintre patru niveluri distincte de securitate, opțiunile recomandate fiind High sau Very High.
În cazul în care încă rulați o versiune veche și vulnerabilă, nu ar trebui să vă bazați pe funcționalitatea ‘ trusted list’, deoarece un algoritm de semnătură nevalid ar putea face totuși să apară documente ce conțin macro-uri modificate ca provenind dintr-o sursă de încredere.