Attenzione alla vulnerabilità in LibreOffice: cliccare su un collegamento può costare caro

LibreOffice è la nota e apprezzata suite per l’ufficio multipiattaforma, sviluppata da The Document Foundation, che punta sul concetto di software libero. Offre strumenti per la produttività come Writer (videoscrittura), Calc (fogli di calcolo), Impress (presentazioni), Draw (grafica vettoriale), Base (database) e Math (editor di formule). Compatibile con i formati di Microsoft Office,  anche se The Document Foundation ha sempre rimarcato gli ostacoli posti sul campo dall’azienda di Redmond, LibreOffice punta sull’Open Document Format (ODF), distinguendosi per la sua sua flessibilità, l’assenza di costi di licenza e il forte supporto della community. Grazie agli aggiornamenti costanti, garantisce sicurezza, stabilità e nuove funzionalità per utenti privati e aziende.

L’aggiornamento di LibreOffice corregge un problema grave

Proprio a proposito di aggiornamenti, i responsabili di The Document Foundation invitano gli utenti ad installare quanto prima LibreOffice 24.8.5 o successive. Tale release integra infatti una correzione per un problema di sicurezza potenzialmente molto severo.

Parlando di collegamenti ipertestuali presenti nei documenti, LibreOffice consente di attivare un hyperlink presente in una qualsiasi pagina con la combinazione CTRL+clic. Su Windows, il collegamento è automaticamente passato alla funzione ShellExecute del sistema operativo Microsoft, che è responsabile dell’apertura dei file e dell’esecuzione dei programmi associati ai collegamenti.

Per motivi di sicurezza, LibreOffice implementa un meccanismo che blocca i collegamenti che puntano direttamente a file eseguibili e script (.exe, .bat, .cmd, e così via), impedendone il caricamento automatico tramite ShellExecute. Tuttavia, nelle versioni precedenti alla 24.8.5, la protezione risulta aggirabile utilizzando URL non standard, che ShellExecute può interpretare come percorsi di file Windows.

In altre parole, un attaccante può inserire un collegamento in un documento LibreOffice che, se attivato, può portare all’esecuzione di codice arbitrario sul sistema dell’utente, sfruttando l’errata interpretazione dei percorsi da parte di ShellExecute.

Correggere subito il problema di sicurezza e scongiurare qualunque rischio di attacco

The Document Foundation conferma che, al momento, non ci sono evidenze che il problema di sicurezza in questione (identificativo CVE-2025-0514) sia utilizzato per condurre attacchi. Tuttavia, adesso che si conosce l’esistenza della vulnerabilità, è importante che gli utenti di LibreOffice agiscano quanto prima e applichino subito l’aggiornamento. Il download della versione più recente di LibreOffice è effettuabile dall’area download del sito ufficiale.

Il problema è principalmente di LibreOffice perché è il software che, in precedenza, passava il collegamento ipertestuale alla funzione ShellExecute senza un adeguato filtraggio in alcune circostanze. Tuttavia, la radice della vulnerabilità è riconducibile al modo in cui ShellExecute di Windows può interpretare alcuni tipi di URL come percorsi di file eseguibili.