LibreOffice 发布软件更新以修补 3 个新漏洞

LibreOffice 背后的团队已经发布了安全更新，以修复生产力软件中的三个安全漏洞，其中一个可以被利用来在受影响的系统上实现任意代码执行。

跟踪为CVE-2022-26305的问题被描述为在检查宏是否由受信任的作者签名时不正确的证书验证的情况，导致执行打包在宏中的恶意代码。

“因此，攻击者可以创建一个序列号和颁发者字符串与 LibreOffice 将呈现为属于受信任作者的受信任证书相同的任意证书，这可能导致用户执行包含在不正确信任的宏中的任意代码，”LibreOffice在咨询中说。

还解决了在加密 ( CVE-2022-26306 ) 期间使用静态初始化向量 ( IV )的问题，如果不良行为者有权访问用户的配置信息，这可能会削弱安全性。

最后，更新还解决了CVE-2022-26307，其中主密钥编码不良，如果对手拥有用户配置，则使存储的密码容易受到暴力攻击。

这三个漏洞由 OpenSource Security GmbH 代表德国联邦信息安全办公室报告，已在 LibreOffice 版本 7.2.7、7.3.2 和 7.3.3 中得到解决。

这些补丁是在文档基金会于 2022 年 2 月修复另一个不正确的证书验证错误 ( CVE-2021-25636 ) 五个月后发布的。去年 10 月，修补了三个欺骗性漏洞，这些漏洞可能被滥用来更改文档，使它们看起来像是数字化的由受信任的来源签署。