La Document Foundation ha rilasciato due aggiornamenti di sicurezza per il suo popolare pacchetto di software per ufficio open-source, LibreOffice, le versioni 7.6.2 e 7.5.7, per affrontare una vulnerabilità recentemente divulgata nel codec WebP. Gli aggiornamenti, rilasciati prima del previsto, contengono una correzione per la CVE 2023-4863, un overflow del buffer heap scoperto nella libreria libwebp, utilizzata per decodificare il formato grafico WebP ora popolare.
Dettagli della vulnerabilità
Questa vulnerabilità di sicurezza colpisce tutte le applicazioni che utilizzano la libreria libwebp, inclusi importanti browser web come Mozilla Firefox, Chrome/Chromium o Edge. È segnata come critica e potrebbe permettere a un attaccante remoto di eseguire una scrittura di memoria out-of-bounds tramite una pagina HTML appositamente creata. “L’apertura di un’immagine WebP dannosa potrebbe portare a un overflow del buffer heap nel processo di contenuto. Siamo a conoscenza del fatto che questo problema viene sfruttato in altri prodotti in natura”, ha dichiarato il team di sicurezza di Mozilla.
Correzioni e aggiornamenti
Oltre a correggere questa vulnerabilità critica, il rilascio di LibreOffice 7.6.2 contiene anche 54 correzioni per bug e regressioni, mentre LibreOffice 7.5.7 ne contiene solo 14. Entrambe le versioni sono disponibili per il download dal sito ufficiale come binari impacchettati dalla Document Foundation per distribuzioni basate su DEB o RPM, oltre che come tarball sorgente. Gli aggiornamenti arriveranno anche nei repository stabili della tua distribuzione nei prossimi giorni, quindi assicurati di aggiornare regolarmente.
Conclusione
È fondamentale mantenere sempre aggiornati i sistemi GNU/Linux per essere protetti da vulnerabilità critiche come questa. Gli utenti di LibreOffice sono fortemente consigliati ad aggiornare alle nuove versioni per garantire la sicurezza e la stabilità del software.