Gebruikt u LibreOffice?  Dan moet u extra voorzichtig zijn met documentbestanden welke u de komende dagen opent met de LibreOffice software.
LibreOffice bevat een ernstige  kwetsbaarheid voor de uitvoering van code  die malware op uw systeem installeert.

LibreOffice is een van de meest populaire en open source alternatieven voor Microsoft Office en is beschikbaar voor Windows, Linux en macOS systemen.

Eerder deze maand heeft LibreOffice de laatste versie 6.2.5 van haar software uitgebracht die twee ernstige kwetsbaarheden aanpakt (CVE-2019-9848 en CVE-2019-9849), maar de patch voor de eerste is nu omzeild, beweert beveiligingsonderzoeker Alex Inführ.
Hoewel Inführ nog geen details heeft onthuld over de techniek die hem in staat stelde om de patch te omzeilen, blijft de impact van deze kwetsbaarheid hetzelfde, zoals hieronder uitgelegd.

CVE-2019-9848:

LibreOffice has a feature where documents can specify that pre-installed scripts can be executed on various document events such as mouse-over, etc. LibreOffice is typically also bundled with LibreLogo, a programmable turtle vector graphics script, which can be manipulated into executing arbitrary python commands. By using the document event feature to trigger LibreLogo to execute python contained within a document a malicious document could be constructed which would execute arbitrary python commands silently without warning. In the fixed versions, LibreLogo cannot be called from a document event handler. This issue affects: Document Foundation LibreOffice versions prior to 6.2.5.

LibreLogo laat gebruikers toe om vooraf geïnstalleerde scripts te specificeren in een document dat kan worden uitgevoerd op verschillende gebeurtenissen zoals mouse-over.