LibreOffice e OpenOffice hanno inviato aggiornamenti per risolvere una vulnerabilità che consente a un utente malintenzionato di manipolare i documenti in modo che appaiano come firmati da una fonte attendibile.
Sebbene la gravità del difetto sia classificata come moderata, le implicazioni potrebbero essere disastrose. Le firme digitali utilizzate nelle macro del documento hanno lo scopo di aiutare l’utente a verificare che il documento non sia stato alterato e possa essere considerato attendibile.
La scoperta del bug, che viene tracciato come CVE-2021-41832 per OpenOffice, è stato opera di quattro ricercatori della Ruhr University Bochum. Lo stesso bug in LibreOffice, che è un fork di OpenOffice generato dal progetto principale oltre un decennio fa, è tracciato come CVE-2021-25635.
Se stai utilizzando una delle suite per ufficio open source, ti consigliamo di eseguire immediatamente l’aggiornamento all’ultima versione disponibile. Per OpenOffice, sarebbe 4.1.10 e versioni successive e per LibreOffice 7.0.5 o 7.1.1 e versioni successive. Poiché nessuna di queste due applicazioni offre l’aggiornamento automatico, dovresti farlo manualmente scaricando l’ultima versione dai rispettivi centri di download.
Se l’aggiornamento alla versione più recente non è possibile per qualsiasi motivo, puoi sempre scegliere di disabilitare completamente le funzionalità delle macro sulla tua suite per ufficio o evitare di fidarti di documenti contenenti macro.
Per impostare la sicurezza delle macro su LibreOffice, vai su Strumenti → Opzioni → LibreOffice → Sicurezza e fai clic su “Sicurezza macro”.
Nella nuova finestra di dialogo è possibile selezionare tra quattro differenti livelli di sicurezza, con le opzioni consigliate Alta o Molto alta.
Se stai ancora eseguendo una versione vecchia e vulnerabile, non dovresti fare affidamento sulla funzionalità “elenco attendibile” poiché un algoritmo di firma non valido potrebbe comunque far apparire un documento contraffatto poiché proviene da una fonte attendibile.