Бесплатно Экспресс-аудит сайта:

29.07.2022

В LibreOffice исправлены три опасные уязвимости

Из трех исправленных уязвимостей стоит выделить самую опасную, отслеживаемую как CVE-2022-26305 . Она связана с неправильной валидацией сертификата при проверке подписи макросов. Успешная эксплуатация этой уязвимости позволит злоумышленнику создать собственный сертификат с серийным номером и строкой эмитента, которые абсолютно идентичны проверенному сертификату. После этого LibreOffice будет считать сертификат выданным проверенной организацией, что может привести к выполнению произвольного кода, упакованного в макросы.

Также разработчиками были устранены две другие, не такие опасные уязвимости:

  • Статичный вектор инициализации (IV) при шифровании ( CVE-2022-26306 ), позволяющий получить доступ к информации о конфигурации пользователя, что могло ослабить защиту;

  • Плохо закодированный мастер-ключ ( CVE-2022-26307 ), позволяющий провести брутфорс сохраненных паролей.

Все три уязвимости были устранены в LibreOffice версий 7.2.7, 7.3.2 и 7.3.3. Специалисты рекомендуют пользователям обновить ПО до последних версий как можно скорее.