Il y a quelques semaines, une preuve de concept était publiée depuis un blogue autrichien. L’article stipule qu’il serait possible depuis un ODT d’exécuter du code malicieux. Une vidéo floue montre qu’un document ouvert sous LibreOffice 6.1.2 exécute la calculatrice au simple survol d’un hyperlien. Cela sans afficher le moindre avertissement.
La faille serait fixée avec les versions Libreoffice 6.1.4 et 6.0.7 mais l’auteur précise que OpenOffice 4.1.6 serait lui-aussi vulnérable.
Testons alors le fameux document suivant les explications données dans l’article. J’ai copié collé le code et l’ait sauvegardé en FODT. Ce format qui signifie Flat ODT n’est pas normalisé, il a été conçu pour les besoins des développeurs afin de faciliter le débogage de OpenOffice puis plus tard, de LibreOffice. A ce jour, OpenOffice ne sait pas l’importer. L’article indique donc de l’ouvrir sous LibreOffice et de l’enregistrer en ODT. Voilà ! Nous aurions alors maintenant, un document piégé capable de lancer des exécutables à notre insu.
Ouvrons ce document sous OpenOffice et voyons si cela se produit…
Et bien non, une erreur de script s’affiche et rien ne se passe. OpenOffice n’est donc pas concerné.
PS : bien sûr, le code fourni dans le billet du blogue n’est pas adapté car il pointe sur un Python 3.5.5 spécifique à LibreOffice. J’ai donc modifié le fichier avec la version 2.7.6 embarquée dans OpenOffice.
Source : h**ps://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html