La suite ofimática de código abierto LibreOffice se ha actualizado recientemente para corregir una vulnerabilidad en Calc y Writer que podría permitir a un atacante obtener el contenido de cualquier archivo del sistema.

LibreOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

El problema, con CVE-2017-3157, reside en un problema en el uso de objetos incrustados en Calc y Writer. Estos objetos pueden contener una vista previa de su contenido. Un atacante podrá crear un documento que incluya un objeto incrustado consistente en un enlace a un archivo existente en el sistema atacado. Al cargar la previsualización el objeto se actualizará para reflejar el contenido del archivo.

Si LibreOffice se emplea como un servicio online la vista previa de datos podrá empelarse para exponer detalles del entorno en que se ejecute la suite. En el caso de que Calc o Writer se usen como aplicación de escritorio estándar, la vista previa podría ocultarse en secciones ocultas que podrán ser recuperadas por el atacante si el documento se guarda y devuelve al remitente.

En las versiones corregidas de LibreOffice se ha ampliado la característica LinkUpdateMode para añadir controles adicionales a la actualización de vistas previas de objetos incrustados, así como su función anterior para controlar la actualización del contenido del objeto incrustado.

Esta vulnerabilidad se encuentra corregida en LibreOffice 5.1.6, 5.2.5 y 5.3.0 que se encuentran disponibles para su descarga desde la página oficial:

http://es.libreoffice.org/descarga/

Más información:

CVE-2017-3157 Arbitrary file disclosure in Calc and Writer

http://www.libreoffice.org/about-us/security/advisories/cve-2017-3157/

Antonio Ropero

[email protected]

Twitter: @aropero