Rassegna Stampa

LBIT soluzioni informatiche

  • Categorie
  • Creative
    • Design
    • Ilustrazioni
  • Fotografia
  • Web
    • SEO
    • Mobile
    • Social
  • Marketing
  • ICT
  • Security
  • News
    • Economia
    • CRIME E CORRUPTION
  • Autori

LibreOffice corregge una falla ma suggerisce di usare la vecchia versione

 31 Luglio 2019   News, Rassegna Stampa, Security
image_pdfimage_print

Lug 31, 2019 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0


Il bug permette di sfruttare una Macro per eseguire codice. La nuova versione della suite la blocca, ma sul sito se ne consiglia l’uso solo agli “smanettoni”.

Gioie e dolori della filosofia open source. A mettere in luce i secondi questa volta è LibreOffice, il pacchetto di programmi per l’ufficio che negli ultimi anni si è guadagnato un discreto spazio a livello di utenti.

Qual è il problema? Che dopo aver corretto una clamorosa falla di sicurezza, gli sviluppatori hanno pubblicato la nuova versione 6.2.5 sul sito sconsigliandone però l’utilizzo generalizzato. Per “l’uso in ambito professionale” viene consigliata la vecchia versione 6.1.6.

LibreOffice

Si tratta di un’abitudine tipica dei progetti open source, ispirata da una certa prudenza nel distribuire le nuove release dei programmi che, effettivamente, potrebbero avere qualche bug o incompatibilità non ancora rilevata. In questo caso, però, questa forma di “prudenza” è decisamente fuori luogo. La versione 6.2.5, infatti, contiene una patch che corregge una falla di sicurezza particolarmente grave.

La vulnerabilità (CVE-2019-9848) è stata individuata da Nils Emmerich, che nel suo report spiega come sia possibile sfruttarla per trasformare un documento di LibreOffice in un perfetto vettore di attacco.

Il primo problema, spiega il ricercatore, è che LibreOffice esegue i comandi Macro senza chiedere alcuna conferma all’utente. Questo anche se si imposta il massimo livello di sicurezza.

Il secondo riguarda la presenza in LibreOffice di un componente chiamato LibreLogo, che permette di programmare in Python attraverso un sistema di controllo basato su grafica vettoriale. Ciò di cui si è accorto Emmerich, è che utilizzando un comando Macro è possibile sfruttare LireLogo per eseguire un comando.

LibreOffice

Il documento qui sopra, per esempio, avvia la calcolatrice di Windows quando il cursore viene posizionato o semplicemente passa (non è necessario alcun clic) sulla scritta “Run”. Modificandolo, sarebbe possibile eseguire un malware.

Insomma: sul sito di LibreOffice viene suggerito di installare una versione “stabile” che contiene una vera voragine di sicurezza. Speriamo che le segnalazioni circolate in queste ore arrivino alle orecchie dei responsabili in modo che possano prendere provvedimenti.

Condividi l’articolo


URGENT11: raffica di vulnerabilità in dispositivi SCADA e IoT

Articoli correlati
Altro in questa categoria

https://www.securityinfo.it/2019/07/31/libreoffice-corregge-una-falla-ma-suggerisce-di-usare-la-vecchia-versione/

<< Di Maio annuncia ricorso al Tar contro Agcom, ma i termini sono scaduti da oltre un mese. Perché non vieta il gioco d’azzardo? 2 Female Sexual Wellness Companies Call Out the Ad Policies of MTA and Social Platforms >>

Evidenziatore

Cerca

Tag

5G AI apertura apple Articoli attualita' Biz & IT Cars Cybercrime Cybersecurity Dailyletter economia Energia facebook false Finance Gaming & Culture General Google In evidenza Intelligenza Artificiale Internet Leadership & Talent malware Mappamondo Media microsoft News NEWS&INDUSTRY News and Trends Platforms Policy PPC Privacy RSS Science SEO Social media Social Pro Daily space Stocks Tech Telecoms Voice Vulnerabilities

Ricerca avanzata

Related Post

  • OPS Trevi: l’operazione che mette in luce l’assenza di una politica industriale dello Stato
  • Fondo Nazionale Connettività, FiberCop vince la gara per coprire 477mila civici e 712 milioni di contributi
  • Quantum key distribution e quantum communication. La valutazione critica di M. Dècina e M. Martinelli di tecnologie, protocolli e livelli di prontezza
  • Google aumenta emissioni di CO2 (+18%), consumi energetici (+37%) ed idrici (+34%) per colpa dell’AI
  • L’Austria chiama la Ue “Facilitare l’accesso al mercato di Anthropic”
  • MQTT – come usare MQTT in C – pt.2
  • Il Comune di Napoli accende il 4G e il 5G sulla Linea 1 della metro. Il sindaco Manfredi: “La città sempre più tecnologica”
  • Edizione, Nav 2025 a 14,1 miliardi (+7%), un terzo dei dipendenti ha meno di 30 anni, il 50% è donna. Alessandro Benetton guida la rifondazione della holding
  • Iran, la risposta ai raid di Trump. Teheran attacca obiettivi Usa: “Hanno violato pace”
  • Ultimo modello di OpenAI, la Casa Bianca deciderà a chi può essere rilasciato

Powered by:


Rassegna è il portale di aggiornamento della LBIT s.r.l.s.Sviluppato da MyWiki WordPress Theme