Nhóm nghiên cứu đằng sau libreoffice đã phát hành các bản cập nhật bảo mật để sửa ba lỗi bảo mật trong phần mềm năng suất, một trong số đó có thể bị lợi dụng để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Được theo dõi là CVE-2022-26305, sự cố được mô tả là trường hợp xác thực chứng chỉ không đúng khi kiểm tra xem macro có được ký bởi tác giả đáng tin cậy hay không, dẫn đến việc thực thi mã giả mạo được đóng gói trong macro.
“Do đó, kẻ thù có thể tạo chứng chỉ tùy ý với số sê-ri và chuỗi tổ chức phát hành giống hệt với chứng chỉ đáng tin cậy mà LibreOffice sẽ trình bày là thuộc về tác giả đáng tin cậy, có khả năng dẫn đến việc người dùng thực thi mã tùy ý có trong macro không đáng tin cậy”, LibreOffice cho biết trong một lời khuyên.
Cũng được giải quyết là việc sử dụng vectơ khởi tạo tĩnh (IV) trong quá trình mã hóa (CVE-2022-26306) có thể làm suy yếu bảo mật nếu kẻ xấu có quyền truy cập vào thông tin cấu hình của người dùng.
Cuối cùng, các bản cập nhật cũng giải quyết CVE-2022-26307, trong đó khóa chính được mã hóa kém, hiển thị các mật khẩu được lưu trữ dễ bị tấn công bạo lực nếu kẻ thù sở hữu cấu hình người dùng.
Ba lỗ hổng được OpenSource Security GmbH thay mặt cho Văn phòng Bảo mật Thông tin Liên bang Đức báo cáo, đã được giải quyết trong các phiên bản LibreOffice 7.2.7, 7.3.2 và 7.3.3.
Các bản vá được đưa ra 5 tháng sau khi Document Foundation sửa một lỗi xác thực chứng chỉ không đúng khác (CVE-2021-25636) vào tháng 2 năm 2022. Tháng 10 năm ngoái, ba lỗi giả mạo đã được vá có thể bị lạm dụng để thay đổi tài liệu để làm cho chúng xuất hiện như thể chúng là kỹ thuật số được ký bởi một nguồn đáng tin cậy.
.
