No último dia 26 de setembro, o Center for Internet Security (CIS) publicou em seu site uma vulnerabilidade no LibreOffice que pode permitir a execução arbitrária de comandos.

O LibreOffice é um pacote de ferramentas de código aberto que fornece processamento de texto, slides e planilhas. A exploração bem-sucedida dessa vulnerabilidade permitirá que o invasor execute comandos no contexto do usuário, executando o aplicativo afetado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com todos os privilégios do usuário.

Já existe uma Prova de Conceito (PoC) disponível para essa vulnerabilidade. O risco para grandes e médias entidades governamentais e empresas é ALTO. Para pequenas entidades governamentais e pequenas empresas o risco é MÉDIO.

A seguir apresentamos as recomendações a serem tomadas:

• • Aplicar patches ou modificações apropriadas fornecidas pelo LibreOffice a sistemas vulneráveis;
  • Execute todo o software como um usuário sem privilégios (um sem direitos administrativos) para diminuir os efeitos de um ataque bem-sucedido;
  • Lembre a todos os usuários para não abrir sites não confiáveis ​​ou abrir links fornecidos por fontes desconhecidas ou não confiáveis;
  • Informar e ensinar os usuários sobre ameaças colocadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis;
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços.

Para saber do resumo técnico da vulnerabilidade clique aqui.