9VSA20-00240-01 CSIRT comparte actualizaciones para LibreOffice

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de The Document Foundation referente a dos vulnerabilidades que afectan a su paquete de oficina libre, LibreOffice. El presente informe incluye las respectivas medidas de mitigación.

Vulnerabilidades

CVE-2020-12802

CVE-2020-12803

CVE-2020-12802

El modo sigiloso en LibreOffice hace que solo los documentos provenientes de localidades consideradas «confiables» puedan obtener recursos remotos. Esta opción no viene por defecto, pero se puede activar para no incluir los recursos de lugares no confiables. Debido a un error, los enlaces remotos gráficos cargados de archivos «docx» son omitidos de esta protección.

Productos Afectados

LibreOffice versión 6.4.3 y anteriores.

Mitigación

Actualizar a la versión 6.4.4 de LibreOffice.

Enlaces

https://www.libreoffice.org/about-us/security/advisories/cve-2020-12802/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12802

CVE-2020-12803

Los archivos ODF cuentan con formularios que pueden ser llenados por usuarios, y al igual que los formularios HTML, se pueden enviar los datos obtenidos a través de una URI, por ejemplo a un sitio web. Para realizar esto, se utiliza “Xforms W3C standard”, lo cual permite realizar el envío de datos sin el uso de macros ni programación. El problema es que esto también permitía utilizar rutas de directorios, como por ejemplo, para sobrescribir archivos locales del sistema.

A pesar de que esto solo es explotable con interacción humana (osea, no con scripts automáticos, por el momento), se subsanó la vulnerabilidad forzando a las URIs a utilizar “http”, eliminando la posibilidad de interactuar con archivos del sistema.

Productos Afectados

LibreOffice versión 6.4.3 y anteriores.

Mitigación

Actualizar a la versión 6.4.4 de LibreOffice.

Enlaces

https://www.libreoffice.org/about-us/security/advisories/cve-2020-12803/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12803

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00240-01

9VSA20-00240-01 CSIRT comparte actualizaciones para LibreOffice