Hackernews 编译,转载请注明出处:
LibreOffice背后的团队发布了安全更新,以修复生产力软件中的三个安全漏洞,其中一个漏洞可能被用来在受影响的系统上实现任意代码执行。
追踪为CVE-2022-26305,该问题被描述为在检查宏是否由受信任的作者签名时证书验证不正确的情况,从而导致执行宏中打包的恶意代码。
LibreOffice在通报中表示:“因此,黑客可以创建任意证书,其序列号和颁发者字符串与受信任的证书相同,LibreOffice会将其显示为属于受信任的作者,这可能导致用户执行包含在不受信任的宏中的任意代码。”
除此之外,更新还解决了在加密期间使用静态初始化向量(CVE-2022-26306)的问题,如果黑客可以访问用户的配置信息,这可能会削弱安全性。
最后,这些更新还解决了CVE-2022-26307问题,其中主密钥编码不当,如果黑客拥有用户配置,则存储的密码很容易受到暴力攻击。
这三个漏洞是由 OpenSource Security GmbH 代表德国联邦信息安全办公室报告的,在LibreOffice 版本7.2.7、7.3.2和7.3.3中已得到解决。
五个月前,文档基金会于2022年2月修复了另一个不正确的证书验证错误(CVE-2021-25636)。去年10月,修补了三个欺骗漏洞,这些漏洞可能被滥用来修改文档,使其看起来像是由可信来源进行了数字签名。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文