5/5 - (4 votes)

LibreOffice corrige de multiples vulnérabilités de sécurité le 24 mai 2023

La vulnérabilité identifiée en CVE-2023-2255 note que les documents distants chargés sans invite via IFrame. LibreOffice prend en charge les “cadres flottants”, similaires à un IFrame html. Les cadres affichent leur document lié dans un cadre flottant à l’intérieur du document hôte. Cela était incompatible avec le comportement d’autres contenus de documents liés tels que les objets OLE, les sections liées Writer ou les formules Calc WEBSERVICE qui avertissent l’utilisateur qu’il existe des documents liés et invite s’ils doivent être autorisés à se mettre à jour. (Sources)


LibreOffice est une suite bureautique libre et gratuite de qualité professionnelle créée et gérée par The Document Foundation. LibreOffice est une excellente alternative à Microsoft Office pour Windows, Mac et Linux. Cette suite bureautique disponible en téléchargement gratuit de qualité professionnelle comporte tous les outils nécessaires à la plupart des utilisateurs : traitement de texte, tableur, présentation, base de données. La migration vers Libre Office est totalement transparente puisque les documents créés avec la suite de Microsoft sont entièrement compatibles avec cette solution gratuite, même les fichiers les plus anciens.

De multiples vulnérabilités ont été découvertes dans LibreOffice. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité. La correction est opérationnelle dans les versions de LibreOffice 7.4.7/7.5.3. (Sources)


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut