Si usas LibreOffice actualiza ya, por que fueron detectadas dos vulnerabilidades
Se dio a conocer información divulgada sobre dos vulnerabilidades detectadas en la suite ofimática LibreOffice, una de ellas es considerada potencialmente la más peligrosa, ya que como tal permite la ejecución de código al abrir un documento especialmente diseñado.
La primera vulnerabilidad (ya catalogaba bajo CVE-2023-0950) es destacable ya que esta podía ser explotada potencialmente al permitir que se ejecute código en el sistema al abrir una hoja de cálculo que incluye fórmulas especialmente modificadas.
Se menciona que en las versiones afectadas de LibreOffice, ciertas fórmulas de hojas de cálculo mal formadas, con AGGREGATE podrían crearse con menos parámetros de los esperados. El problema se debe a un subdesbordamiento del índice de matriz en el código de análisis de fórmulas (ScInterpreter) utilizado en el procesamiento de hojas de cálculo.
El módulo de hoja de cálculo de LibreOffice admite varias fórmulas que toman múltiples parámetros. Las fórmulas son interpretadas por ‘ScInterpreter’ que extrae los parámetros requeridos para una fórmula dada de una pila.
La segunda vulnerabilidad y la mas peligrosa es (CVE-2023-2255) y esta toma suma importancia, ya que permite que un atacante prepare un documento especialmente diseñado que, cuando se abre sin aviso ni advertencia, cargará enlaces externos, lo que no corresponde al comportamiento declarado de LibreOffice, que implica una advertencia cuando cargando contenido relacionado.
En las versiones afectadas de LibreOffice, estos marcos flotantes obtienen y muestran su documento vinculado sin aviso al cargar el documento host. Esto no era coherente con el comportamiento de otros contenidos de documentos vinculados, como objetos OLE, secciones vinculadas de Writer o fórmulas de CALC WEBSERVICE que advierten al usuario que hay documentos vinculados y pregunta si se les debe permitir actualizar.
El problema se debe a un error en el código de solicitud de permiso cuando se usa el mecanismo de «Marcos flotantes», que es similar a un iframe en HTML y permite que el contenido de los archivos externos se incluya dinámicamente en el documento.
Finalmente se menciona que la primera vulnerabilidad se corrigió sin mucha publicidad en las versiones de marzo 7.4.6 y 7.5.1 en las cuales ya se valida el conteo de parámetros y la segunda vulnerabilidad fue corregida en las actualizaciones de mayo de LibreOffice 7.4.7 y 7.5.3 en las cuales el administrador de «update link» existente se ha ampliado para controlar adicionalmente la actualización del contenido de IFrames.
¿Como instalar LibreOffice 7.5.3?
Para los interesados en poder actualizar su suite de ofimática, deben saber que pueden ya estar sobre la versión más actual que es la versión 7.5.3.
Si aún no están sobre esta versión, pueden ejecutar los comandos de actualización de su distribución o en dado caso pueden hacer el proceso de manera manual. Para ello primero debemos desinstalar primeramente la versión anterior, esto es con el fin de evitar problemas posteriores.
Para ello debemos abrir una terminal y ejecutar lo siguiente (por ejemplo en Ubuntu y derivados):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
Ahora procederemos a dirigirnos a la página web oficial del proyecto donde en su sección de descargas podremos obtener el paquete deb para poderlo instalar en nuestro sistema.
Hecha la descarga vamos a descomprimir el contenido del paquete recién adquirido con:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
Ingresamos al directorio creado después de descomprimir, en mi caso es del de 64 bits:
cd LibreOffice_7.5.3_Linux_x86-64_deb
Después ingresamos a la carpeta donde están los archivos deb de LibreOffice:
cd DEBS
Y finalmente instalamos con:
sudo dpkg -i *.deb
¿Cómo instalar LibreOffice 7.5.3 en Fedora, openSUSE y derivados?
Si estás utilizando un sistema que tiene el soporte para poder instalar paquetes rpm, puedes instalar esta nueva actualización obteniendo el paquete rpm desde la página de descargas de LibreOffice.
Obtenido el paquete descomprimimos con:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
E instalamos los paquetes que contiene la carpeta con:
sudo rpm -Uvh *.rpm
¿Cómo instalar LibreOffice 7.5.3 en Arch Linux, Manjaro y derivados?
Para el caso de Arch y sus sistemas derivados podemos instalar esta versión de LibreOffice, solamente abrimos una terminal y tecleamos:
sudo pacman -Sy libreoffice-fresh