LibreOffice’in arkasındaki ekip, üretkenlik yazılımındaki üç güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı; bunlardan biri, etkilenen sistemlerde rastgele kod yürütülmesini sağlamak için kullanılabilir.
olarak izlendi CVE-2022-26305sorun, bir makronun güvenilir bir yazar tarafından imzalanıp imzalanmadığını kontrol ederken, makrolar içinde paketlenmiş sahte kodun yürütülmesine yol açan uygunsuz sertifika doğrulama durumu olarak tanımlanmıştır.
“Bu nedenle, bir düşman, LibreOffice’in güvenilir yazara ait olarak sunacağı güvenilir bir sertifikaya özdeş bir seri numarasına ve veren bir dizeye sahip rasgele bir sertifika oluşturabilir, bu da potansiyel olarak kullanıcının yanlış güvenilen makrolarda bulunan rasgele kodu yürütmesine yol açabilir,” LibreOffice bir tavsiyede söyledi.
Ayrıca, bir statik başlatma vektörünün kullanılması da çözümlenmiştir (IV) şifreleme sırasında (CVE-2022-26306) bu, kötü bir aktörün kullanıcının yapılandırma bilgilerine erişmesi durumunda güvenliği zayıflatabilirdi.
Son olarak, güncellemeler de çözülür CVE-2022-26307burada ana anahtarın kötü kodlanmış olması, bir saldırganın kullanıcı yapılandırmasına sahip olması durumunda depolanan parolaları kaba kuvvet saldırısına açık hale getirir.
Alman Federal Bilgi Güvenliği Ofisi adına OpenSource Security GmbH tarafından bildirilen üç güvenlik açığı, LibreOffice 7.2.7, 7.3.2 ve 7.3.3 sürümlerinde ele alınmıştır.
Yamalar, Document Foundation’ın başka bir uygunsuz sertifika doğrulama hatasını düzeltmesinden beş ay sonra gelir (CVE-2021-25636) Şubat 2022’de. Geçen Ekim ayında, belgeleri güvenilir bir kaynak tarafından dijital olarak imzalanmış gibi gösterecek şekilde değiştirmek için kötüye kullanılabilecek üç kimlik sahtekarlığı hatası düzeltildi.