O LWN comenta um curioso relato de vulnerabilidade divulgado pela Document Foundation, aparentemente com seriedade considerável: segunda a organização, a falha poderia ser usada para propósitos que incluem a instalação de vírus por meio de um documento de texto especialmente preparado.

A correção foi realizada (sem divulgação) nas versões 3.4.3 e 3.4.4 do LibreOffice, lançadas em agosto, mas os detalhes teriam sido mantidos em segredo “até que os usuários tivessem tempo de migrar para a nova versão”.

Ainda segundo o LWN, não está claro que as distribuições de Linux e outros distribuidores em grande escala do software tenham sido uniformemente avisadas pela Fundação de que havia alguma razão para incluírem a correção da falha secreta nas versões distribuídas por elas, que usualmente adotam ciclos mais longos do que o prazo de pouco mais de um mês dado pela fundação.

Outro efeito interessante é que o OpenOffice, afetado pelo mesmo bug, também não lançou correção previamente, e aparentemente não havia um mecanismo eficaz em funcionamento para troca de informações com este grau de relevância entre as equipes de segurança dos 2 projetos baseados em uma mesma árvore de código – ou seja, os desenvolvedores do OpenOffice confirmaram que não ficaram sabendo até a divulgação pública pela Document Foundation, e mencionaram que esperam ser a última vez que os integrantes de um dos 2 projetos fiquem sabendo de uma descoberta deste tipo pela imprensa.

Se a sua versão de um dos 2 programas, ou de um derivado, é anterior a agosto, um upgrade para uma versão livre do bug é mais do que essencial – e enquanto não ocorrer, a abertura de arquivos DOC obtidos ou manipulados por terceiros é mais arriscada do que de costume. (via lwn.net – “An odd vulnerability report for LibreOffice [LWN.net]”)