LibreOffice

LibreOffice: 2 Nouvelles failles découvertes

Soyez prudents quand vous ouvrez un document avec LibreOffice. Le logiciel contient plusieurs vulnérabilités d’exécution de code à distance qui peuvent installer des malwares sur votre système quand vous ouvrez un fichier malveillant.

Un peu plus tôt le mois dernier, LibreOffice a distribué la version 6.2.5 de son logiciel qui adresse 2 vulnérabilités critiques (CVE-2019-9848 et CVE-2019-9849), mais le patch de la première faille a été contourné, selon le chercheur en sécurité, Alex Inführ.

Inführ n’a pas encore divulgué de détails sur la technique qui lui a permit de contourner le patch mais l’impact de la vulnérabilité reste le même.

1.) CVE-2019-9848: Cette vulnérabilité, qui existe toujours dans la dernière version, se troue dans LibreLogo, un script programmable dans LibreOffice.

LibreLogo permet aux utilisateurs de spécifier des scripts pré-installés dans un document qui peuvent être exécuté lors d’événements variés comme un mouse-over par exemple.

libreoffice vulnerability exploit

Découverte par Nils Emmerich, la faille pourrait permettre à un pirate de créer un document malveillant qui peut exécuter des commandes python arbitraires sans afficher d’alertes sur l’écran de la victime.

“Le problème ici est que le code n’est pas bien traduit et que fournir du code python en tant que script donne les mêmes résultats,” a déclaré Emmerich.

“Utilisé des formulaires et des événements OnFocus, il est aussi possible d’obtenir une exécution de code quand le document est ouvert, sans avoir besoin d’un événement mouse-over.”

Emmerich a aussi partagé une preuve de concept de l’attaque sur son blog.

2.) CVE-2019-9849: Cette vulnérabilité, que vous pouvez réparer en installant la dernière mise à jour disponible, peut permettre l’injection de contenu arbitraire à distance dans un document même quand le mode furtif est activé.

Le mode furtif n’est pas activé par défaut, mais les utilisateurs peuvent l’activer pour ordonner aux documents de récupérer des ressources seulement depuis des endroits connus.

Comment protéger votre système de ces failles LibreOffice?

Install LibreOffice

Inführ a déjà alerté l’équipe de LibreOffice concernant ce problème de contournement. En attendant la sortie d’un patch pour réparer cette faille, il est recommandé aux utilisateurs de mettre à jour ou de réinstaller le logiciel sans les macros ou sans le composant LibreLogo.

Si cet article vous a plu, jetez un œil à notre précédent article concernant une faille de LibreOffice.