LibreOffice 发布安全更新,修复3个新漏洞

近期，LibreOffice维护人员发布了安全更新，以修复生产力软件中的三个安全漏洞。其中包括编号为CVE-2022-26305的漏洞，该漏洞可能被攻击者用来实现任意代码执行。

关于LibreOffice

LibreOffice是一个开源办公生产力软件套件，是 The Document Foundation (TDF) 的一个项目。LibreOffice拥有强大的数据导入和导出功能，能直接导入PDF文档、微软Word(.doc文件)、LotusWord，支持主要的OpenXML格式。软件本身并不局限于Debian和Ubuntu平台，现已支持Windows、Mac和其它Linux发行版等多个系统平台。

漏洞影响

CVE-2022-26305：在检查宏是否由受信任的作者签名时证书验证不正确的情况，从而导致执行宏中打包的恶意代码。

LibreOffice 在发布的公告中表示，LibreOffice 中存在不正确的证书验证漏洞，通过仅将已使用证书的序列号和颁发者字符串与受信任证书的序列号和颁发者字符串进行匹配来确定宏是否由受信任的作者签名。这不足以验证宏实际上是用证书签名的。因此，攻击者可以创建一个序列号和颁发者字符串与 LibreOffice 将呈现为属于受信任作者的受信任证书相同的任意证书，这可能导致用户执行包含在不正确信任的宏中的任意代码。

此次安全更新解决了在加密期间使用静态初始化向量（CVE-2022-26306）的问题，如果黑客可以访问用户的配置信息，这可能会削弱安全性。

此外，这些更新还解决CVE-2022-26307问题，其中主密钥编码不当，如果黑客拥有用户配置，则存储的密码很容易受到暴力攻击。

所有漏洞均由 OpenSource Security GmbH 代表德国联邦信息安全办公室发现，并在 LibreOffice7.2.7、7.3.2 和 7.3.3 版本中得到修复。

2022年2月，文档基金会修复了另一个不正确的证书验证错误（CVE-2021-25636）。2021年10月，修复了3个欺骗漏洞，这些漏洞可能被滥用来修改文档，使其看起来像是由可信来源进行了数字签名。

修复建议

为了防止威胁行为者利用漏洞进行攻击，LibreOffice官方已经发布了安全更新，并建议评估是否受影响后，升级到最新安全版本。