El equipo detr\u00e1s de LibreOffice ha lanzado actualizaciones de seguridad para corregir tres fallas de seguridad en el software de productividad, una de las cuales podr\u00eda explotarse para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario en los sistemas afectados.<\/p>\n
rastreado como CVE-2022-26305<\/a>el problema se ha descrito como un caso de validaci\u00f3n de certificado incorrecta al verificar si una macro est\u00e1 firmada por un autor de confianza, lo que lleva a la ejecuci\u00f3n de c\u00f3digo malicioso empaquetado dentro de las macros.<\/p>\n “Por lo tanto, un adversario podr\u00eda crear un certificado arbitrario con un n\u00famero de serie y una cadena de emisor id\u00e9ntica a un certificado de confianza que LibreOffice presentar\u00eda como perteneciente al autor de confianza, lo que podr\u00eda llevar al usuario a ejecutar c\u00f3digo arbitrario contenido en macros de confianza indebida”, LibreOffice dijo en un aviso.<\/p>\n Tambi\u00e9n se resuelve el uso de un vector de inicializaci\u00f3n est\u00e1tico (IV<\/a>) durante el cifrado (CVE-2022-26306<\/a>) que podr\u00eda haber debilitado la seguridad en caso de que un mal actor tuviera acceso a la informaci\u00f3n de configuraci\u00f3n del usuario.<\/p>\n Por \u00faltimo, las actualizaciones tambi\u00e9n resuelven CVE-2022-26307<\/a>en el que la clave maestra estaba mal codificada, lo que hace que las contrase\u00f1as almacenadas sean susceptibles a un ataque de fuerza bruta si un adversario est\u00e1 en posesi\u00f3n de la configuraci\u00f3n del usuario.<\/p>\n Las tres vulnerabilidades, que fueron informadas por OpenSource Security GmbH en nombre de la Oficina Federal de Seguridad de la Informaci\u00f3n de Alemania, se han solucionado en las versiones 7.2.7, 7.3.2 y 7.3.3 de LibreOffice.<\/p>\n Los parches llegan cinco meses despu\u00e9s de que Document Foundation corrigiera otro error de validaci\u00f3n de certificado incorrecto (CVE-2021-25636<\/a>) en febrero de 2022. En octubre pasado, se corrigieron tres fallas de suplantaci\u00f3n de identidad de las que se pod\u00eda abusar para alterar documentos y hacerlos parecer como si estuvieran firmados digitalmente por una fuente confiable.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgvfqow2z1XORevUpzKGWWXZ2DP4dMaNi-7cycpa3J_bSZKv0tO6MP40HLl7lvVJDIswOmb6I-YoNMLJym4v9oLZQczujsMqcttB3M_Cvm6E-zLs0XrpwaTZ_SGFjckDfi3CPfijZaii8Z88_btcKeHKKfxm7cDyF3kaVvsirGpb2JWVH0Ot3xGiC2sZg\/s1600\/strike-728.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n