LibreOffice : une vulnérabilité avec RTF en vecteur d'attaque

Le par  |  10 commentaire(s)
LibreOffice

Une vulnérabilité de sécurité affecte LibreOffice. Son exploitation permet une exécution de code arbitraire à distance avec un fichier RTF en vecteur d'attaque. Un patch correctif a été élaboré avant la divulgation publique.

Division sécurité de Cisco, Talos divulgue publiquement une vulnérabilité de sécurité affectant la suite bureautique LibreOffice. Cette divulgation publique intervient alors que ladite faille a été signalée à l'éditeur concerné (The Document Foundation) mi-avril.

LibreOffice portableLe problème réside dans l'analyseur RTF de LibreOffice. Après ouverture, un fichier spécialement conçu dans ce format propriétaire Rich Text Format - qui n'a plus évolué depuis 2008 - peut provoquer une erreur exploitable pour une exécution de code arbitraire à distance.

Cette vulnérabilité est en lien avec la manière dont des documents contenant à la fois un élément stylesheet et superscript à l'intérieur d'un fichier RTF sont traités. Les attaquants sont en tout cas habitués à tirer parti de vulnérabilités en rapport avec le traitement de fichiers RTF grâce par exemple à une expérience acquise avec Office de Microsoft. C'est un vecteur d'attaque plutôt commun.

Méfiance donc avec les documents RTF, ce qui vaut dès lors aussi pour LibreOffice. La bonne nouvelle est que Talos n'a pas eu vent d'une exploitation active de la vulnérabilité et qu'elle a été corrigée dans la dernière version de LibreOffice disponible (5.1.4 et 5.0.6 ; branche Évolution et Stable).

Un avis de sécurité de The Document Foundation n'évoque une correction que dans LibreOffice 5.1.4 et 5.2.0 (actuellement en Release Candidate) mais en se référant à une note de sécurité pour Ubuntu, on peut s'apercevoir que le patch a aussi été appliqué pour la version 5.0.6. Rappelons que LibreOffice est une suite bureautique libre et multiplateforme.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1907437
Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?
Le #1907480
Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


fais gaffe, n'attise pas les braises malheureux
Le #1907484
Une news pour jeanlucesi

C'est en fervent défenseur de LibreOffice parait-il
Le #1907489
skynet a écrit :

Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


fais gaffe, n'attise pas les braises malheureux


Non mais c'est juste les gens qui se repose trop sur un système, il y a des failles partout.
Le #1907494
Rymix a écrit :

skynet a écrit :

Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


fais gaffe, n'attise pas les braises malheureux


Non mais c'est juste les gens qui se repose trop sur un système, il y a des failles partout.


Oui je sais bien
Les failles sont vraiment partout. Les hackers s'attaquent d'abord à ceux qui sont le plus diffusé.
Le #1907500
Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


En même temps, quand on utilise LibO, on n'utilise pas vraiment RTF...
(d'ailleurs quand on utilise Word non plus, en fait )
Le #1907509
Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


On m'aurait menti ?!?!
Le #1907534
bugmenot a écrit :

Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


En même temps, quand on utilise LibO, on n'utilise pas vraiment RTF...
(d'ailleurs quand on utilise Word non plus, en fait )


Toi oui, d'autres non peut-être
Le #1907535
On NOUS auraient menti ?!
Le #1907539
Rymix a écrit :

bugmenot a écrit :

Rymix a écrit :

Quoi ? LibreOffice c'est pas safe ?
Ubuntu non plus ?


En même temps, quand on utilise LibO, on n'utilise pas vraiment RTF...
(d'ailleurs quand on utilise Word non plus, en fait )


Toi oui, d'autres non peut-être


C'est des ouf!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]