Разработчики LibreOffice выпустили обновления, которые исправляют сразу три уязвимости в LibreOffice. Один из этих багов может использоваться для выполнения произвольного кода в уязвимых системах.

Наиболее опасная проблема, CVE-2022-26305, связана с некорректной валидацией сертификата при проверке того, подписан ли макрос доверенным автором. В итоге это приводит к выполнению вредоносного кода, скрытого в макросах.

«Злоумышленник может создать произвольный сертификат с серийным номером и строкой эмитента, идентичными доверенному сертификату, который LibreOffice расценивает как принадлежащий доверенному автору. Это может привести к тому, что пользователь выполнит произвольный код, содержащийся в макросах», — предупреждают разработки.

Также было исправлено использование статического вектора инициализации во время шифрования (CVE-2022-26306 ), что могло ослабить безопасность, если злоумышленник получил доступ к информации о конфигурации пользователя.

И, наконец, свежие обновления устраняют еще одну уязвимость, CVE-2022-26307, связанную со слабым шифрованием мастер-ключа. Из-за этого сохраненные пароли были уязвимы для брутфорс-атак.

Обо всех трех уязвимостях сообщила организация OpenSource Security GmbH, действуя от имени Федерального управления по информационной безопасности Германии. Проблемы были устранены в LibreOffice версий 7.2.7, 7.3.2 и 7.3.3.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии