L’équipe derrière LibreOffice a publié des mises à jour de sécurité pour corriger trois failles de sécurité dans le logiciel de productivité, dont l’une pourrait être exploitée pour obtenir l’exécution de code arbitraire sur les systèmes concernés.
Suivi comme CVE-2022-26305le problème a été décrit comme un cas de validation incorrecte du certificat lors de la vérification de la signature d’une macro par un auteur de confiance, entraînant l’exécution de code malveillant intégré aux macros.
« Un adversaire pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d’émetteur identiques à un certificat de confiance que LibreOffice présenterait comme appartenant à l’auteur de confiance, conduisant potentiellement l’utilisateur à exécuter du code arbitraire contenu dans des macros de confiance incorrecte », LibreOffice dit dans un avis.
L’utilisation d’un vecteur d’initialisation statique (IV) pendant le chiffrement (CVE-2022-26306) qui aurait pu affaiblir la sécurité si un acteur malveillant avait accès aux informations de configuration de l’utilisateur.
Enfin, les mises à jour résolvent également CVE-2022-26307dans lequel la clé principale était mal codée, rendant les mots de passe stockés susceptibles d’être attaqués par force brute si un adversaire est en possession de la configuration de l’utilisateur.
Les trois vulnérabilités, qui ont été signalées par OpenSource Security GmbH au nom de l’Office fédéral allemand de la sécurité de l’information, ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.
Les correctifs arrivent cinq mois après que Document Foundation a corrigé un autre bogue de validation de certificat incorrect (CVE-2021-25636) en février 2022. En octobre dernier, trois failles d’usurpation ont été corrigées qui pourraient être utilisées à mauvais escient pour modifier des documents afin de les faire apparaître comme s’ils étaient signés numériquement par une source fiable.