Ошибка в LibreOffice, OpenOffice позволяет хакерам подделывать подписанные документы
Ошибка в LibreOffice, OpenOffice позволяет хакерам подделывать подписанные документы
"Разрешить кому угодно подписывать документы, содержащие макросы, и делать их заслуживающими доверия - отличный способ заставить пользователей запустить вредоносный код.
Обнаружение уязвимости, которая отслеживается как CVE-2021-41832 для OpenOffice, было работой четырех исследователей из Рурского университета в Бохуме.
Тот же недостаток касается LibreOffice, который является форком OpenOffice, порожденным основным проектом более десяти лет назад, и для их проекта отслеживается как CVE-2021-25635.
Устранение риска
Если вы используете какой-либо из офисных пакетов с открытым исходным кодом, вам рекомендуется немедленно обновить его до последней доступной версии. Для OpenOffice это будет 4.1.10 и новее, а для LibreOffice - 7.0.5 или 7.1.1 и новее.
Поскольку ни одно из этих двух приложений не поддерживает автоматическое обновление, вам следует сделать это вручную, загрузив последнюю версию из соответствующих центров загрузки - LibreOffice, OpenOffice.
Если вы используете Linux и вышеупомянутые версии еще не доступны в диспетчере пакетов вашего дистрибутива, рекомендуется загрузить пакет «deb» или «rpm» из Центра загрузок или собрать LibreOffice из исходного кода.
Если обновление до последней версии невозможно по какой-либо причине, вы всегда можете полностью отключить функции макросов в своем офисном пакете или не доверять любым документам, содержащим макросы.
Чтобы установить безопасность макросов в LibreOffice, перейдите в Инструменты → Параметры → LibreOffice → Безопасность и нажмите «Безопасность макросов».
В новом диалоговом окне вы можете выбрать один из четырех различных уровней безопасности, из которых рекомендуется высокий или Очень высокий.
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
Хотя серьезность ошибки классифицируется как умеренная, последствия могут быть серьезными. Цифровые подписи, используемые в макросах документов, призваны помочь пользователю убедиться, что документ не был изменен и ему можно доверять.LibreOffice и OpenOffice выпустили обновления для устранения уязвимости, которая позволяет злоумышленнику манипулировать документами, которые выглядят как подписанные надежным источником.
"Разрешить кому угодно подписывать документы, содержащие макросы, и делать их заслуживающими доверия - отличный способ заставить пользователей запустить вредоносный код.
Обнаружение уязвимости, которая отслеживается как CVE-2021-41832 для OpenOffice, было работой четырех исследователей из Рурского университета в Бохуме.
Тот же недостаток касается LibreOffice, который является форком OpenOffice, порожденным основным проектом более десяти лет назад, и для их проекта отслеживается как CVE-2021-25635.
Устранение риска
Если вы используете какой-либо из офисных пакетов с открытым исходным кодом, вам рекомендуется немедленно обновить его до последней доступной версии. Для OpenOffice это будет 4.1.10 и новее, а для LibreOffice - 7.0.5 или 7.1.1 и новее.
Поскольку ни одно из этих двух приложений не поддерживает автоматическое обновление, вам следует сделать это вручную, загрузив последнюю версию из соответствующих центров загрузки - LibreOffice, OpenOffice.
Если вы используете Linux и вышеупомянутые версии еще не доступны в диспетчере пакетов вашего дистрибутива, рекомендуется загрузить пакет «deb» или «rpm» из Центра загрузок или собрать LibreOffice из исходного кода.
Если обновление до последней версии невозможно по какой-либо причине, вы всегда можете полностью отключить функции макросов в своем офисном пакете или не доверять любым документам, содержащим макросы.
Чтобы установить безопасность макросов в LibreOffice, перейдите в Инструменты → Параметры → LibreOffice → Безопасность и нажмите «Безопасность макросов».
В новом диалоговом окне вы можете выбрать один из четырех различных уровней безопасности, из которых рекомендуется высокий или Очень высокий.
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Пакет LibreOffice был обновлен для устранения нескольких уязвимостей безопасности, связанных с выполнением макросов и защитой паролей для веб-соединений.
Разработчик внес исправления в стабильную версию продукта (LibreOffice 7.2) и нестабильную ветку (7.3).
Внесены исправления для трех уязвимостей.
В LibreOffice предусмотрена проверка, позволяющая определить, был ли макрос создан и подписан кем-то, кому пользователь доверяет (например, коллегой), чтобы код макроса не выполнялся в случае несоответствия.
«Злоумышленник может создать произвольный сертификат с серийным номером и строкой эмитента, идентичной доверенному сертификату, который LibreOffice будет представлять как принадлежащий доверенному автору, что может привести к тому, что пользователь выполнит произвольный код, содержащийся в макросах, которым ненадлежащим образом доверяют», — поясняется в бюллетене. .
Плохая кодировка ключа ослабила его энтропию со 128 до 43 бит, что позволило злоумышленнику взломать его и получить доступ к сохраненным паролям.
В обновленной версии программы пользователям с сохраненными паролями будет автоматически предложено повторно зашифровать их фиксированным методом.
Наконец,
Смягчение
LibreOffice предлагает параметры безопасности для макросов, от «низкого» до «очень высокого», которые активируют различные наборы политик выполнения в зависимости от уровня доверия, который пользователь может принять.
Например, если установлено значение low, будут выполняться все макросы, даже если они не подписаны. Средний уровень безопасности отображает диалоговое окно с просьбой одобрить выполнение макроса.
В случае CVE-2022-26307 уязвимость нельзя использовать, если уровень безопасности макросов установлен на «очень высокий» или если пользователь не поддерживает базу данных доверенных сертификатов.
По оценкам, у LibreOffice 200 миллионов пользователей. Многие из них являются студентами и пользователями Linux, ищущими альтернативу Microsoft Office с открытым исходным кодом, а также пакет программного обеспечения для повышения производительности офиса, который менее подвержен атакам злоумышленников.
Последняя доступная версия на официальном портале загрузки — 7.3.5.2, которая содержит исправления для упомянутых недостатков, но те, кто ценит более стабильную работу, могут вместо этого получить 7.2.7.
https://www.bleepingcomputer.com/news/security/libreoffice-addresses-security-issues-with-macros-passwords/