Z informacji udostępnionych przez przedstawicieli projektu The Document Foundation (nadzorującego rozwój Libre Office) wynika, że wydanie 3.5.5 dla Linuksa zawiera poprawki, usuwające z pakietu liczne błędy w zabezpieczeniach, które mogły być wykorzystane do nieautoryzowanego uruchomienia złośliwego kodu z przywilejami aktualnie aktywnego użytkownika.

Dodajmy, że wydanie 3.5.5 zostało udostępnione już 11 lipca, ale dopiero teraz opublikowano biuletyny bezpieczeństwa opisujące załatane w nim luki. "Atakujący może stworzyć odpowiedni dokument ODF (Open Document Format for Office Applications), którego otwarcie spowoduje autoamtyczne uruchomienie złośliwego kodu" - napisano w alercie.

Wszystkie załatane właśnie luki opatrzono wspólną sygnaturą CVE-2012-2665. Usunięto je już również z LibreOffice 3.6.0 (wersji, która jest dostępna jako "kandydat do wydania finalnego").

Najbardziej prawdopodobną przyczyną opóźnienia publikacji informacji o lukach był fakt, iż LibreOffice jest domyślnie implementowany do wielu dystrybucji Linuksa - organizacja The Document Foundation chciała po prostu dać ich autorom czas na zaktualizowanie oprogramowania.

Błędy znajdowały się w module odpowiedzialnym za szyfrowanie XML - ten sam komponent występuje zarówno w LibreOffice, jak i w OpenOffice.org (projekcie, z którego "wypączkował" LO).

Red Hat udostępnił już zaktualizowane wersje OpenOffice.org oraz LibreOffice packages dla Red Hat Enterprise Linux v 5 oraz Red Hat Enterprise Linux v 6 - firma zaleca użytkownikom swoich produktów jak naszybsze zaktualizowanie oprogramowania. Odpowiednie wydania przygotował również Novell (dla SUSE Linux Enterprise Desktop 10) oraz Canonical (dla Ubuntu 12.04 Precise Pangolin).

LibreOffice 3.5.5 jest również dostępny w wersjach dla Windows i Mac OS X - aczkolwiek autorzy oprogramowania nie poinformowali na razie, czy w nich również występują błędy załatane w wersji dla Linuksa.

Więcej informacji oraz plik do pobrania znaleźć można na oficjalnej stronie projektu.