LibreOffice 發布軟件更新以修補 3 個新漏洞

LibreOffice 背后的團隊已經發布了安全更新，以修復生產力軟件中的三個安全漏洞，其中一個可以被利用來在受影響的系統上實現任意代碼執行。

跟蹤為CVE-2022-26305的問題被描述為在檢查宏是否由受信任的作者簽名時不正確的證書驗證的情況，導致執行打包在宏中的惡意代碼。

“因此，攻擊者可以創建一個序列號和頒發者字符串與 LibreOffice 將呈現為屬于受信任作者的受信任證書相同的任意證書，這可能導致用戶執行包含在不正確信任的宏中的任意代碼，”LibreOffice在咨詢中說。

還解決了在加密 ( CVE-2022-26306 ) 期間使用靜態初始化向量 ( IV )的問題，如果不良行為者有權訪問用戶的配置信息，這可能會削弱安全性。

最后，更新還解決了CVE-2022-26307，其中主密鑰編碼不良，如果對手擁有用戶配置，則使存儲的密碼容易受到暴力攻擊。

這三個漏洞由 OpenSource Security GmbH 代表德國聯邦信息安全辦公室報告，已在 LibreOffice 版本 7.2.7、7.3.2 和 7.3.3 中得到解決。

這些補丁是在文檔基金會于 2022 年 2 月修復另一個不正確的證書驗證錯誤 ( CVE-2021-25636 ) 五個月后發布的。去年 10 月，修補了三個欺騙性漏洞，這些漏洞可能被濫用來更改文檔，使它們看起來像是數字化的由受信任的來源簽署。