LibreOffice本周釋出最新版7.2及7.3版,以修補3項漏洞。
三項漏洞為CVE-2022-26305、CVE-2022-26306、CVE-2022-26307,皆為德國聯邦資訊安全辦公室下的OpenSource Security公司揭露。
首先,LibreOffice支援執行巨集,但理論上預設只執行可信賴的檔案,或是獲得可信賴憑證簽發的巨集。LibreOffice是比對儲存在用戶組態資料庫中的可信賴簽章,以及下載檔案的簽章來判斷巨集是否值得信賴。CVE-2022-26305漏洞則是出在只比對序列碼及簽發者字串,導致簽章驗證不當,可能讓使用者透過巨集執行任意程式碼。
另二項則和密碼儲存安全性有關。LibreOffice可允許在用戶組態資料庫中,以加密儲存Web連線的密碼。加密是以用戶提供的單一主金鑰進行。而CVE-2022-26306發生在加密過程需要初始向量(initiation vector)的元件未做改變,讓能存取到用戶設定檔的攻擊者可取得密碼。
CVE-2022-26307則是發生在主金鑰加密演算法,使加密的熵(entropy)由128 bit降至43 bit,讓存取到用戶組態檔的攻擊者得以暴力破解儲存的密碼。
LibreOffice以7.2.7及7.3.2修補CVE-2022-26305,並以7.2.7及7.3.3解決CVE- CVE-2022-26306和2022-26307漏洞。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03
Advertisement