LibreOffice è la suite di programmi gratuita per l’ufficio che punta a sostituire Microsoft Office attraverso strumenti più completi e opzioni per la sicurezza maggiori. Sono state però riscontrate recentemente tre vulnerabilità di sicurezza relative all’esecuzione di macro e alla protezione delle password per le connessioni web. Fortunatamente, LibreOffice ha già rilasciato un nuovo aggiornamento che risolve queste problematiche, ma molti di voi potrebbero non aver ancora effettuato l’update, per cui consigliamo caldamente di farlo.
Nel dettaglio, le falle sono CVE-2022-26305, CVE-2022-26306 e CVE-2022-26307. La prima consente l’esecuzione del codice macro nel dispositivo di destinazione anche se il certificato utilizzato per firmare la macro non corrisponde alle voci nel database di configurazione dell’utente. LibreOffice dispone di un controllo per determinare se una macro è stata creata e firmata da un utente fidato in modo da non eseguire il codice macro in caso di mancata corrispondenza.
La seconda riguarda un problema con la scarsa codifica della chiave master che memorizza le password per le connessioni Web nel database di configurazione dell’utente. La cattiva codifica della chiave ha indebolito la sua entropia da 128 a 43 bit, consentendo a un utente malintenzionato di forzarla e accedere alle password memorizzate tramite semplice attacco brute force.
La terza e ultima vulnerabilità consente agli aggressori con accesso ai dati di configurazione dell’utente di recuperare le password per le connessioni Web senza conoscere la password principale. LibreOffice offre opzioni di sicurezza per le macro, che vanno da “Basso” a “Molto Alto”, che attivano diversi set di politiche di esecuzione a seconda del livello di fiducia dell’utente. A seconda dell’impostazione, è possibile che determinate macro possano essere eseguite o meno, sia nel caso fossero firmate che non. Se si imposta su modalità Molto Alto, si va a bloccare la CVE-2022-26307. Per controllare le impostazioni di sicurezza delle macro, accedere a Strumenti → Opzioni → LibreOffice → Sicurezza, fare clic su “Sicurezza macro” e impostare il livello su “Molto Alto”.
LibreOffice può contare su circa 200 milioni di utenti, tra cui studenti e utenti Linux alla ricerca di un’alternativa open source a Microsoft Office e di una suite di software per la produttività dell’ufficio meno mirata dagli autori delle minacce. Sembra però che ora anche questa suite è stata colpita dagli hacker, ma effettuando l’aggiornamento 7.3.5.2 ci si potrà proteggere prima che sia troppo tardi.