LibreOffice es una de las alternativas a Microsoft Office más populares y completas que podemos encontrar en la red. Esta suite ofimática se caracteriza por ser gratuita y de código abierto, ofreciendo a los usuarios excelentes alternativas a Word, Excel y PowerPoint desarrolladas y mantenidas por la comunidad. Normalmente LibreOffice no suele ser noticia por aspectos relacionados con la seguridad. Sin embargo, hoy se acaba de dar a conocer una grave vulnerabilidad que está poniendo en peligro a todos los usuarios de esta suite.
Hace apenas unas horas se daba a conocer un nuevo fallo de seguridad en LibreOffice que no ha sido solucionado y que puede poner en peligro nuestra seguridad. Este fallo de seguridad puede permitir a un pirata informático utilizar un documento aparentemente inofensivo para que, al abrirlo, se ejecute código oculto en él de forma remota y ponga en peligro la seguridad de los usuarios.
El código que se puede ocultar dentro de estos documentos maliciosos es muy variado, y puede desde causar un bloqueo del PC hasta instalar malware de forma remota.
LibreOffice 6.2.5 solucionaba la vulnerabilidad, aunque han conseguido saltarse el parche
A principios de este mes The Document Foundation lanzaba el nuevo LibreOffice 6.2.5, una actualización centrada en solucionar dos graves vulnerabilidades que estaban afectando a la seguridad de los usuarios.
Por un lado está CVE-2019-9848, la vulnerabilidad de la que estamos hablando, que permite ocultar código en un documento para que, al ejecutar, poder reproducir código remoto. Este fallo de seguridad se encuentra dentro del programa LibreLogo que se instala por defecto junto a las demás aplicaciones de LibreOffice.
Por otro lado tenemos CVE-2019-9849, otro fallo de seguridad (este sí fue solucionado sin problemas) que también podía ser aprovechado para ejecutar código remoto en los ordenadores vulnerables.
Aunque en teoría la nueva versión solucionaba CVE-2019-9848, investigadores de seguridad se han topado con una mala implementación del parche, lo que ha permitido saltarlo y volver a explotar con relativa facilidad esta vulnerabilidad.
Cómo protegernos de esta vulnerabilidad si usamos LibreOffice
Aunque la vulnerabilidad se encuentra oculta dentro de LibreLogo, como esta aplicación se instala por defecto a los usuarios todos aquellos que no personalicen la instalación estarán en peligro.
Si queremos protegernos lo que debemos hacer es desinstalar LibreLogo de nuestro ordenador. Aunque dejemos las demás aplicaciones de LibreOffice, desinstalando ésta nos aseguraremos de que ya no estamos en peligro. Si vamos a instalar LibreOffice de nuevo, entonces debemos asegurarnos de desmarcar esta opción en el proceso de instalación.
Si realmente necesitamos usar LibreLogo para el diseño de imágenes vectoriales, entonces debemos extremar mucho más la precaución. Debemos evitar cualquier archivo que podamos descargar de Internet ya que puede ocultar una amenaza.
The Document Foundation ya se encuentra trabajando en una nueva solución para esta vulnerabilidad. El nuevo parche no debería tardar mucho en llegar a los usuarios, aunque por ahora tendremos que esperar.
Se recomienda instalar LibreOffice 6.2.6 tan pronto como se lance para poder estar protegidos. Otras alternativas, como OpenOffice, parece que no son vulnerables.
