Vulnerabilidad crítica en LibreOffice permite a los hackers tomar control de los dispositivos expuestos

LibreOffice es un paquete de software para oficina de uso libre y código abierto que cuenta con una cantidad relativamente amplia de usuarios. Recientemente, especialistas en seguridad de aplicaciones web reportaron una falla que podría comprometer la integridad de un sistema con sólo abrir un archivo malicioso.

Acorde a los reportes, esta condición existe debido a una vulnerabilidad de ejecución de código que, de ser explotada, podría permitir a un hacker inyectar malware en el sistema comprometido después de que el usuario interactúe con el archivo especialmente diseñado. Este paquete de software es una de las más populares alternativas al uso de la suite Microsoft Office y es compatible con sistemas Windows, Linux y macOS.

Apenas hace algunas semanas los desarrolladores de LibreOffice lanzaron la versión más reciente de su software, agregando las correcciones para dos severas vulnerabilidades (identificadas como CVE-2019-9848 y CVE-2019-9849). Sin embargo, los hackers lograron desarrollar un método para esquivar las correcciones recién implementadas, mencionan los especialistas en seguridad de aplicaciones web. Aunque aún se desconocen los detalles de este “contraataque”, se sabe que el impacto de las vulnerabilidades sigue siendo altamente considerable.

La primera vulnerabilidad (CVE-2019-9848), aún existente en la versión más reciente, existe en LibreLogo, un script de gráficos vectoriales que se entrega de forma predeterminada con la paquetería de LibreOffice. Esta característica permite a los usuarios especificar scripts preinstalados en un documento que se ejecutarán bajo determinadas circunstancias, como interacciones con el mouse.

Sobre la vulnerabilidad, ésta podría permitir a un hacker crear un documento malicioso para ejecutar comandos arbitrarios de python sin que la víctima pueda detectar esta actividad no autorizada. Nils Emmerich, investigador encargado de descubrir la vulnerabilidad, incluso lanzó una prueba de concepto para la explotación de este error en particular.

La explotación de la segunda vulnerabilidad (CVE-2019-9849) permitiría la inyección de código arbitrario remoto en un documento; la falla persiste aún si el “Modo Oculto” de LibreOffice está habilitado. Esta característica no está habilitada por defecto, pero los usuarios pueden activarla para indicar a un documento de LibreOffice que deben recuperar recursos remotos solamente de ubicaciones confiables.

Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios potencialmente afectados actualizar o reinstalar sus versiones de LibreOffice para eliminar el componente LibreLogo al menos hasta que la compañía lance los parches de actualización completos.

(Visitado 1273 veces)