Heidelberg, Cyberthreat.id - Anda pengguna LibreOffice? Jika iya, segera menginstal ulang LibreOffice tanpa macro atau tidak mengikutkan LibreLogo sewaktu instalasi. Periset keamanan siber menemukan celah keamanan di peranti lunak ini yang bisa dieksploitasi dengan sembarang kode Python.

LibreOffice merupakan peranti lunak yang terdiri atas pengolah dokumen, spreadsheet, grafik seperti halnya Microsoft Office, namun gratis. Peranti lunak open source milik organisasi nirlaba Document Foundation ini cukup populer untuk distro Linux. Namun, LibreOffice juga bisa dipasang pada sistem operasi Windows. Jumlah pengguna aktifnya sekarang lebih dari 200 juta orang.

Nils Emmerich dari perusahaan keamanan siber Jerman, ERNW, menemukan celah keamanan pada LibreOffice pada komponen LibreLogo. Komponen ini biasanya diikutkan saat instalasi LibreOffice. LibreLogo adalah program interaksi berbasis vector yang menggunakan kursor relatif berbentuk kura-kura (the turtle). Dengan LibreLogo, pengguna bisa memasukkan kode Python ke dokumen yang dijalankan dengan event tertentu, seperti mouse over, on focus atau mouse click.

Kode dieksekusi saat mouse over tautan  "Run" | image: insinuator.net

Di blog insinuator.net, Emmerich mendemonstrasikan proof-of-concept (PoC) kerentanan aplikasi LibreOffice. Celah yang diberi nama CVE-2019-9848 itu berasal dari komponen LibreLogo. Pada PoC tersebut, sebuah tautan yang dibuat dengan kode Python akan dieksekusi tanpa mesti diklik. Tautan dalam dokumen LibreOffice itu dibuka hanya dengan menaruh kursor di atasnya (mouseover). Lebih jauh lagi, Emmerich menunjukkan bahwa celah keamanan tersebut bisa dieksploitasi tanpa mouseover namun dengan metode OnFocus saat dokumen dibuka. Hacker bisa mengeksploitasi celah keamanan ini untuk mengambil alih komputer pengguna LibreOffice.

Celah keamanan ini sudah ditambal pada LibreOffice versi 6.2.5 pada 1 Juli. Setelah adanya penutupan celah tersebut, Emmerich mempublikasikan temuannya di blog insinuator.net pada 26 Juli lalu. Sayangnya, periset keamanan siber lain, Alex Inführ, menemukan bahwa tambalan terbaru ini masih bisa diterobos hacker. Alex tidak menyebutkan teknik yang digunakannya namun ia mencuit telah berhasil menerobos LibreOffice 6.2.5.

Tweet Alex | image: securityaffairs.co

Dengan adanya isu baru ini, pengguna LibreOffice disarankan menginstal ulang LibreOffice tanpa macro atau tanpa LibreLogo meski celah keamanan secara resmi telah ditutup LibreOffice.

Pilih "Custom Installation" dan pilih "This Feature Will Not Be Available" pada LibreLogo.