Dos vulnerabilidades críticas en OpenOffice y LibreOffice permiten falsificar documentos verificados

Los equipos de seguridad de LibreOffice y OpenOffice emitieron actualizaciones de seguridad con el fin de abordar una falla de seguridad que habría permitido a los actores de amenazas crear documentos maliciosos y hacerlos parecer como contenido legítimo. Estas firmas digitales están pensadas para fortalecer la seguridad del usuario, por lo que su compromiso podría resultar desastroso en términos de ciberseguridad.

La falla fue identificada como CVE-2021-41832 para OpenOffice, mientras que para LibreOffice el error recibió la clave de identificación CVE-2021-25635. Como algunos usuarios recordarán, LibreOffice es una bifurcación del proyecto OpenOffice, por lo que en esencia el error es el mismo en ambas implementaciones. Por el momento las fallas no han recibido un puntaje del Common Vulnerability Scoring System (CVSS).

Para mitigar el riesgo de explotación, se recomienda a cualquier usuario actualizar a la más reciente versión disponible de OpenOffice (v4.1.10 y posteriores) y LibreOffice (v7.0.5 o 7.1.1 y posteriores). En la mayoría de las implementaciones los parches se aplican de forma automática, pero se recomienda verificar la versión que se ejecuta en cada sistema.

Es importante mencionar que las actualizaciones aún no están listas para usuarios del sistema Linux, por lo que se les recomienda descargar el paquete “deb” o “rpm” como una solución temporal. Si la actualización a la última versión no es posible por algún motivo, siempre puede optar por deshabilitar por completo las funciones de macro en su suite.

Recuerde que, para configurar la seguridad de macros en LibreOffice, debe ir al menú Herramientas – Opciones – LibreOffice – Seguridad; una vez en esta sección, haga clic en la opción “Seguridad de macros” del menú desplegable.

En el nuevo cuadro de diálogo, puede seleccionar entre cuatro niveles distintos de seguridad. Elija la que considere más apta para su implementación.

Para los usuarios que ejecutan una versión antigua y vulnerable, se recomienda precaución al usar la funcionalidad de “lista de confianza”, ya que un algoritmo de firma no válido aún podría hacer que un documento malicioso parezca como si proviene de una fuente confiable.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).