Contenido
Los desarrolladores de LibreOffice han lanzado actualizaciones para la suite Office de código abierto para solucionar tres problemas de seguridad.
LibreOffice es una popular alternativa multiplataforma de Microsoft Office que está disponible para Windows, macOS y Linux. Las tres versiones de escritorio de LibreOffice son vulnerables a los problemas de seguridad. Los atacantes pueden eludir la función de ejecución de macros de LibreOffice para ejecutar macros maliciosas y pueden acceder a contraseñas encriptadas cuando explotan los problemas con éxito.
LibreOffice 7.2.7 y 7.3.3 o posterior son seguros
Las actualizaciones de LibreOffice han estado disponibles durante algún tiempo, pero los usuarios y los administradores del sistema deben verificar las versiones instaladas para asegurarse de que las instalaciones estén protegidas contra posibles ataques dirigidos a las vulnerabilidades.
Las últimas versiones de LibreOffice son LibreOffice 7.3.5.2 y LibreOffice 7.2.7; ambos están disponibles como descargas en el sitio web oficial. Para ayudar al proyecto a ahorrar ancho de banda, se recomiendan las descargas de torrents.
Las instalaciones existentes pueden actualizarse ejecutando el instalador proporcionado. Guía a los usuarios a través de la configuración de LibreOffice y la instalación de componentes opcionales.
Esto es lo que debe hacer para comprobar la versión de LibreOffice instalada:
- Abra cualquier aplicación de LibreOffice, por ejemplo, LibreOffice Writer.
- Seleccione Ayuda > Acerca de LibreOffice.
La página que se abre muestra la versión instalada. Si es inferior a 7.2.7 o 7.3.3, LibreOffice es vulnerable a los ataques que tienen como objetivo las vulnerabilidades.
LibreOffice admite comprobaciones de actualizaciones manuales y la descarga de actualizaciones mediante el cliente de Office. Seleccione Ayuda > Buscar actualizaciones para ejecutar una verificación. La aplicación comprueba si hay una nueva versión disponible; luego se descarga e instala una nueva versión.
Vulnerabilidades de seguridad de LibreOffice
OpenSource Security GMBH informó a LibreOffice sobre tres vulnerabilidades de seguridad en nombre de la Oficina Federal Alemana para la Seguridad de la Información. Las vulnerabilidades han recibido una calificación de gravedad alta, que es la segunda después de una calificación de gravedad crítica.
Aquí está la lista de vulnerabilidades:
- CVE-2022-26305 — Ejecución de macros que no son de confianza debido a una validación de certificado incorrecta
- CVE-2022-26306 — El vector de inicialización estática permite recuperar contraseñas para conexiones web sin conocer la contraseña maestra
- CVE-2022-26307 — Llaves maestras débiles
Ejecución de macros que no son de confianza debido a una validación de certificado incorrecta
LibreOffice admite la ejecución de macros, pero limita la ejecución de macros a documentos que están almacenados en una ubicación de archivo confiable o que están firmados por un certificado confiable. LibreOffice mantiene una lista de certificados de confianza que se almacenan en la base de datos de configuración del usuario.
Cuando un documento contiene macros, LibreOffice intenta hacer coincidir el certificado con la lista de certificados de confianza. La macro se ejecuta si se encuentra un certificado coincidente y, de lo contrario, se bloquea.
Los investigadores de seguridad detectaron un problema en el algoritmo de validación de certificación que utiliza LibreOffice. LibreOffice solo hizo coincidir «el número de serie y la cadena del emisor del certificado usado con la de un certificado de confianza», lo cual es insuficiente.
Un atacante podría crear un certificado arbitrario que coincida con el número de serie y la cadena del emisor de un certificado de confianza que utiliza LibreOffice. LibreOffice podría entonces permitir la ejecución de macros que no estén firmadas con el certificado de confianza; esto podría conducir a la ejecución de código arbitrario en el sistema utilizando macros que no son de confianza.
El exploit no funciona si no hay certificados de confianza almacenados en LibreOffice o si el nivel de seguridad de las macros es muy alto.
Cambiar la configuración de seguridad de macros
Para comprobar o cambiar la configuración de seguridad de macros, haga lo siguiente:
- Abra una aplicación de LibreOffice, por ejemplo, LibreOffice Writer.
- Seleccione Herramientas > Opciones, o use el método abreviado de teclado Alt-F12 para abrir las preferencias.
- Vaya a LibreOffice > Seguridad.
- Active el botón Seguridad de macros.
La página que se abre muestra el nivel de seguridad actual de las macros en LibreOffice. La configuración predeterminada es alta, las otras configuraciones son muy alta, media y baja.
- Muy alto — Solo se permite la ejecución de macros de ubicaciones de archivos de confianza. Todas las demás macros, independientemente de si están firmadas o no, están deshabilitadas.
- Alto — Solo se pueden ejecutar macros firmadas de fuentes confiables. Las macros sin firmar están deshabilitadas.
- Medio — Se requiere confirmación antes de ejecutar macros de fuentes no confiables.
- Bajo (no recomendado) — Todas las macros se ejecutarán sin confirmación. Use esta configuración solo si está seguro de que todos los documentos que se abrirán son seguros.
El vector de inicialización estática permite recuperar contraseñas para conexiones web sin conocer la contraseña maestra
Los usuarios de LibreOffice pueden guardar contraseñas en la base de datos de configuración que LibreOffice puede usar para conexiones web. Las contraseñas se cifran con una contraseña maestra que los usuarios configuran manualmente.
Se encontró una vulnerabilidad en LibreOffice que podría permitir a actores maliciosos recuperar contraseñas almacenadas por la suite de Office. LibreOffice usó el mismo «vector de inicialización para el cifrado», lo que debilitó la seguridad del cifrado, siempre que un atacante tenga acceso a los datos de configuración del usuario.
El problema se solucionó en LibreOffice 7.2.7 y 7.3.3 y versiones posteriores. Las versiones más nuevas usan vectores de inicialización únicos cuando se crean y almacenan contraseñas maestras. La aplicación solicita a los usuarios que vuelvan a ingresar su contraseña maestra para volver a cifrar los datos de configuración antiguos que se han almacenado utilizando la vulnerabilidad de cifrado.
Llaves maestras débiles
La vulnerabilidad de claves maestras débiles afecta a las contraseñas maestras en LibreOffice. Existía una falla en versiones anteriores de LibreOffice que debilitaba la entropía; esta falla hace que las contraseñas almacenadas sean vulnerables a ataques de fuerza bruta, siempre que el atacante tenga acceso a la configuración almacenada de los usuarios.
Existía una falla en LibreOffice donde la clave maestra estaba mal codificada, lo que debilitaba su entropía de 128 a 43 bits, lo que hacía que las contraseñas almacenadas fueran vulnerables a un ataque de fuerza bruta si un atacante tiene acceso a la configuración almacenada de los usuarios.
LibreOffice solucionó la vulnerabilidad en las versiones enumeradas anteriormente. Se solicita a los usuarios existentes que vuelvan a ingresar sus contraseñas maestras para volver a cifrar el almacenamiento de configuración del usuario.
Palabras de cierre
Las últimas versiones de LibreOffice son seguras de usar, ya que se han solucionado los problemas de seguridad. Los usuarios y administradores deben asegurarse de que se instalen las últimas versiones para proteger sus datos y dispositivos de posibles ataques.
Se recomienda instalar las actualizaciones incluso en sistemas sin certificados confiables o contraseñas almacenadas. Algunos usuarios de LibreOffice pueden querer mejorar aún más la seguridad de las ejecuciones de macros en la aplicación aumentando el nivel de seguridad de alto a muy alto, como se describe anteriormente.
Ahora tu: ¿Utilizas LibreOffice? ¿Cuándo actualizas la aplicación?