LibreOffice發布軟件更新，修補3個新漏洞

LibreOffice背后的團隊發布了安全更新，以修復生產力軟件中的三個安全漏洞，其中一個漏洞可以被利用在受影響的系統上實現任意代碼執行。

追蹤CVE-2022-26305，該問題被描述為在檢查宏是否由可信作者簽名時進行不正確的證書驗證，從而導致執行宏中打包的惡意代碼。

“因此，對手可以創建任意證書，其序列號和頒發者字符串與LibreOffice將顯示為屬于受信任作者的受信任證書相同，這可能導致用戶執行不受信任的宏中包含的任意代碼，”LibreOffice在一份咨詢中說。

還解決了在加密過程中使用靜態初始化向量（IV）（CVE-2022-26306），如果壞人能夠訪問用戶的配置信息，則可能會削弱安全性。

最后，更新還解決了CVE-2022-26307問題，其中主密鑰編碼不當，如果對手擁有用戶配置，則存儲的密碼容易受到暴力攻擊。

OpenSource Security GmbH代表德國聯邦信息安全辦公室報告的三個漏洞已在LibreOffice版本7.2.7、7.3.2和7.3.中解決。

五個月前，文檔基金會于2022年2月修復了另一個不正確的證書驗證錯誤（CVE-2021-25636）。去年10月，修補了三個欺騙漏洞，這些漏洞可能被濫用來修改文檔，使其看起來像是由可信來源進行數字簽名。