All'inizio di questo mese è stata lanciata The Document Foundation LibreOffice 6.2.7 e 6.3.1, entrambe le versioni di manutenzione che, tra le loro correzioni, presentavano alcune correzioni di sicurezza. Non è stato fino a ieri all'ultimo minuto che Canonical ha aggiornato i pacchetti dei suoi repository ufficiali e, successivamente, ha pubblicato il rapporto sulla sicurezza USN-4138-1 che ci ha spiegato che avevano rilevato un file violazione della sicurezza di media urgenza. Come sempre e penso sia il migliore, la società che gestisce Mark Shuttleworth ha segnalato il problema di sicurezza una volta corretto.
La vulnerabilità menzionata nel rapporto USN-4138-1 è CVE-2019-9854, influisce su tutte le versioni di Ubuntu supportate e descrive in dettaglio una falla di sicurezza che ha impedito a LibreOffice di gestire bene gli script incorporati nei documenti, quindi se ci hanno indotto ad aprire un documento appositamente progettato, un utente malintenzionato remoto potrebbe eseguire codice arbitrario.
LibreOffice 6.2.7 è ora disponibile nei repository ufficiali di Ubuntu
Un livello di sicurezza è stato aggiunto nelle versioni precedenti per correggere il bug CVE-2019-9854, ma era possibile aggirare e sfruttare il bug di LibreOffice. Questa vulnerabilità influisce su Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 e anche LibreOffice 6.3 da Ubuntu 19.10, ma le versioni disponibili nei repository ufficiali hanno già risolto il problema.
Le versioni specifiche che includono la patch contro CVE-2019-9854 sono:
- v6.2.7 per Ubuntu 19.04.
- v6.0.7 per Ubuntu 18.04.
- v5.1.6 per Ubuntu 16.04.
- v6.3.1 per Ubuntu 19.10, ancora in fase di sviluppo e che lancerà la sua prima beta domani.
LibreOffice 6.2.7, v6.3.1 e il resto delle versioni aggiornate non erano gli unici pacchetti aggiornati ieri da Canonical per motivi di sicurezza. Contemporaneamente a quelli della suite per ufficio, l'azienda con sede nel Regno Unito ne ha approfittato aggiornare i pacchetti di Firefox, aggiungendo Firefox 69.0.1 che corregge anche un difetto di sicurezza. Dopo che tutti i pacchetti sono stati installati, si consiglia di riavviare il computer affinché le modifiche abbiano effetto.