La suite ofimática de código abierto LibreOffice se ha
actualizado recientemente para corregir una vulnerabilidad en Calc y Writer que
podría permitir a un atacante obtener el contenido de cualquier archivo del
sistema.
LibreOffice es una suite ofimática de código abierto y
gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos
(Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial
(Draw), y creación y edición de fórmulas matemáticas (Math).
El problema, con CVE-2017-3157, reside en un problema en
el uso de objetos incrustados en Calc y Writer. Estos objetos pueden contener
una vista previa de su contenido. Un atacante podrá crear un documento que
incluya un objeto incrustado consistente en un enlace a un archivo existente en
el sistema atacado. Al cargar la previsualización el objeto se actualizará para
reflejar el contenido del archivo.
Si LibreOffice se emplea como un servicio online la vista
previa de datos podrá empelarse para exponer detalles del entorno en que se
ejecute la suite. En el caso de que Calc o Writer se usen como aplicación de
escritorio estándar, la vista previa podría ocultarse en secciones ocultas que
podrán ser recuperadas por el atacante si el documento se guarda y devuelve al
remitente.
En las versiones corregidas de LibreOffice se ha ampliado
la característica LinkUpdateMode para añadir controles adicionales a la
actualización de vistas previas de objetos incrustados, así como su función
anterior para controlar la actualización del contenido del objeto incrustado.
Recomendación
- Esta vulnerabilidad se encuentra corregida en LibreOffice 5.1.6, 5.2.5 y 5.3.0 que se encuentran disponibles para su descarga desde la página oficial http://es.libreoffice.org/descarga/
- CVE-2017-3157 Arbitrary file disclosure in Calc and Writer http://www.libreoffice.org/about-us/security/advisories/cve-2017-3157/