LibreOffice 套件已更新,以解决与宏执行和 Web 连接密码保护相关的几个安全漏洞。

开发人员在产品的稳定版本(LibreOffice 7.2)和不稳定分支(7.3)中实施了修复。

总共有针对三个漏洞的修复程序。第一个被跟踪为CVE-2022-26305,允许宏代码在目标设备上运行,即使用于签署宏的证书与用户配置数据库中的条目不匹配。

libreoffice-header.jpg

LibreOffice 具有检查功能,以确定宏是否由用户信任的人(即同事)创建和签名,因此在不匹配的情况下不会执行宏代码。

“攻击者可以创建一个任意证书,其序列号和颁发者字符串与 LibreOffice 将呈现为属于受信任作者的受信任证书相同,这可能导致用户执行包含在不正确信任的宏中的任意代码,”该咨询解释说.

第二个问题现在被确定为CVE-2022-26307。它解决了在用户配置数据库中存储 Web 连接密码的主密钥编码不佳的问题。

密钥的错误编码将其熵从 128 位削弱到 43 位,从而允许攻击者暴力破解并访问存储的密码。

在更新版本的软件中,存储密码的用户将被自动提示使用固定方法重新加密。

最后,还有CVE-2022-26306,该漏洞允许访问用户配置数据的攻击者在不知道主密码的情况下检索 Web 连接密码。

减轻

LibreOffice 为宏提供安全选项,范围从“低”到“非常高”,根据用户愿意接受的信任级别激活不同的执行策略集。

例如,如果设置为低,所有的宏都会被执行,即使它们是无符号的。中等安全级别显示一个对话框,要求用户批准执行宏。

在 CVE-2022-26307 的情况下,如果宏安全级别设置为“非常高”或者如果用户没有维护受信任证书的数据库,则该漏洞是不可利用的。

要检查您的宏安全设置,请导航至工具 → 选项 → LibreOffice → 安全,单击“宏安全”,并将级别设置为“非常高”。

在 LibreOffice 上设置宏安全性

在 LibreOffice 上设置宏安全性

据估计,LibreOffice 拥有 2 亿用户。他们中的许多人是学生和 Linux 用户,他们正在寻找 Microsoft Office 的开源替代品以及威胁参与者较少针对的办公生产力软件套件。

官方下载门户上的最新可用版本是 7.3.5.2,其中修复了上述缺陷,但那些欣赏更稳定性能的人可能希望获得 7.2.7。

Tags: none

我有个想法