libreoffice

LibreOffice: 2 patchs contournés, nouvelle mise à jour

Si vous utilisez LibreOffice, il est recommandé de mettre à jour votre logiciel.

LibreOffice a distribué la version 6.2.6/6.3.0 de son logiciel open-source pour adresser trois nouvelles vulnérabilités qui pourrait permette à des pirates de contourner les patchs de deux failles de sécurité précédemment patchées.

LibreOffice (parfois abrégé en LibO ou LO) est une suite bureautique libre et gratuite, dérivée du projet OpenOffice.org, créée et gérée par The Document Foundation. LibreOffice est notamment soutenu par la Fondation pour le logiciel libre et rassemble autour du projet une grande partie de l’ancienne « communauté d’OpenOffice.org ». LibreOffice est intégré au socle interministériel de logiciels libres.

LibreOffice est l’une des alternatives les plus populaires à Microsoft Office et est disponible sur les systèmes Windows, Linux et macOS.

L’une des deux vulnérabiliés, CVE-2019-9848, que LibreOffice a tenté de patcher le mois dernier était une faille d’exécution de code à distance qui affectait LibreLogo, un script de vecteur graphique programmable qui est installé par défaut.

Cette faille permet à un pirate de créer un document malveillant qui peut exécuter silencieusement des commandes python arbitraires sans afficher d’alerte à l’utilisateur ciblé.

Apparemment, le patch de cette vulnérabilité n’était pas suffisant. Deux chercheurs en sécurité ont contourné le patch et ré-activé l’attaque en exploitant deux nouvelles vulnérabilités:

  • CVE-2019-9850: Découverte par Alex Inführ, la vulnérabilité est causée par une validation URL insuffisante qui permet aux pirates de contourner la protection ajoutée par patch de CVE-2019-9848 et de déclencher des appels de LibreLogo depuis le gestionnaire de script d’événements.
  • CVE-2019-9851: Découverte par Gabriel Masei, cette faille se trouve dans une fonctionnalité séparée où les documents peuvent spécifier des scripts pré-installés, tout comme LibreLogo, qui peut être exécuté sur divers scripts d’événements globaux comme comme document-open, etc.

Le patch de la seconde vulnérabilité (CVE-2018-16858) que LibreOffice a distribué en Février a été contourné, ré-activant l’attaque de traversée de répertoire qui permet aux documents malveillants d’exécuter n’importe quel script depuis des emplacements arbitraires sur le système de fichier de la victime.

  • CVE-2019-9852: Découverte par Nils Emmerich de ERNW Research GmbH, une attaque d’encodage d’URL permet de contourner le patch de l”attaque de traversée de répertoire.

En exploitant ces trois vulnérabilités, un pirate peut exécuté des commandes malveillantes sur un ordinateur ciblé en convainquant la victime d’ouvrir un document malveillant.

Comment se protéger de ces failles de LibreOffice?

Les utilisateurs de LibreOffice doivent mettre à jour leur logiciel office en installant la dernière version 6.2.6/6.3.0 le plus tôt possible pour éviter d’être la cible d’une attaque exploitant ces vulnérabilités.