LibreOffice背后的团队发布了安全更新,以修复生产力软件中的三个安全漏洞,其中一个漏洞可以被利用在受影响的系统上实现任意代码执行。

追踪CVE-2022-26305,该问题被描述为在检查宏是否由可信作者签名时进行不正确的证书验证,从而导致执行宏中打包的恶意代码。

“因此,对手可以创建任意证书,其序列号和颁发者字符串与LibreOffice将显示为属于受信任作者的受信任证书相同,这可能导致用户执行不受信任的宏中包含的任意代码,”LibreOffice在一份咨询中说。

还解决了在加密过程中使用静态初始化向量(IV)(CVE-2022-26306),如果坏人能够访问用户的配置信息,则可能会削弱安全性。

最后,更新还解决了CVE-2022-26307问题,其中主密钥编码不当,如果对手拥有用户配置,则存储的密码容易受到暴力攻击。

OpenSource Security GmbH代表德国联邦信息安全办公室报告的三个漏洞已在LibreOffice版本7.2.7、7.3.2和7.3.中解决。

五个月前,文档基金会于2022年2月修复了另一个不正确的证书验证错误(CVE-2021-25636)。去年10月,修补了三个欺骗漏洞,这些漏洞可能被滥用来修改文档,使其看起来像是由可信来源进行数字签名。