Ошибка в LibreOffice, OpenOffice позволяет хакерам подделывать подписанные документы

отредактировано 29 июл Раздел: Уязвимости систем и приложений
Ошибка в LibreOffice, OpenOffice позволяет хакерам подделывать подписанные документы
LibreOffice и OpenOffice выпустили обновления для устранения уязвимости, которая позволяет злоумышленнику манипулировать документами, которые выглядят как подписанные надежным источником.
Хотя серьезность ошибки классифицируется как умеренная, последствия могут быть серьезными. Цифровые подписи, используемые в макросах документов, призваны помочь пользователю убедиться, что документ не был изменен и ему можно доверять.

"Разрешить кому угодно подписывать документы, содержащие макросы, и делать их заслуживающими доверия - отличный способ заставить пользователей запустить вредоносный код.

Обнаружение уязвимости, которая отслеживается как CVE-2021-41832 для OpenOffice, было работой четырех исследователей из Рурского университета в Бохуме.

Тот же недостаток касается LibreOffice, который является форком OpenOffice, порожденным основным проектом более десяти лет назад, и для их проекта отслеживается как CVE-2021-25635.

Устранение риска

Если вы используете какой-либо из офисных пакетов с открытым исходным кодом, вам рекомендуется немедленно обновить его до последней доступной версии. Для OpenOffice это будет 4.1.10 и новее, а для LibreOffice - 7.0.5 или 7.1.1 и новее.

Поскольку ни одно из этих двух приложений не поддерживает автоматическое обновление, вам следует сделать это вручную, загрузив последнюю версию из соответствующих центров загрузки - LibreOffice, OpenOffice.

Если вы используете Linux и вышеупомянутые версии еще не доступны в диспетчере пакетов вашего дистрибутива, рекомендуется загрузить пакет «deb» или «rpm» из Центра загрузок или собрать LibreOffice из исходного кода.

Если обновление до последней версии невозможно по какой-либо причине, вы всегда можете полностью отключить функции макросов в своем офисном пакете или не доверять любым документам, содержащим макросы.

Чтобы установить безопасность макросов в LibreOffice, перейдите в Инструменты → Параметры → LibreOffice → Безопасность и нажмите «Безопасность макросов».

В новом диалоговом окне вы можете выбрать один из четырех различных уровней безопасности, из которых рекомендуется высокий или Очень высокий.

https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано 29 июл PM
    LibreOffice решает проблемы безопасности с помощью макросов и паролей

    Пакет LibreOffice был обновлен для устранения нескольких уязвимостей безопасности, связанных с выполнением макросов и защитой паролей для веб-соединений.

    Разработчик внес исправления в стабильную версию продукта (LibreOffice 7.2) и нестабильную ветку (7.3).

    Внесены исправления для трех уязвимостей.
    Первая отслеживается как CVE-2022-26305 и позволяет выполнять код макроса на целевом устройстве, даже если сертификат, используемый для подписи макроса, не соответствует записям в базе данных конфигурации пользователя.

    В LibreOffice предусмотрена проверка, позволяющая определить, был ли макрос создан и подписан кем-то, кому пользователь доверяет (например, коллегой), чтобы код макроса не выполнялся в случае несоответствия.

    «Злоумышленник может создать произвольный сертификат с серийным номером и строкой эмитента, идентичной доверенному сертификату, который LibreOffice будет представлять как принадлежащий доверенному автору, что может привести к тому, что пользователь выполнит произвольный код, содержащийся в макросах, которым ненадлежащим образом доверяют», — поясняется в бюллетене. .
    Вторая проблема теперь идентифицируется как CVE-2022-26307. Он устраняет проблему с плохой кодировкой главного ключа, который хранит пароли для веб-соединений в базе данных конфигурации пользователя.

    Плохая кодировка ключа ослабила его энтропию со 128 до 43 бит, что позволило злоумышленнику взломать его и получить доступ к сохраненным паролям.

    В обновленной версии программы пользователям с сохраненными паролями будет автоматически предложено повторно зашифровать их фиксированным методом.

    Наконец,
    есть CVE-2022-26306, уязвимость, которая позволяет злоумышленникам, имеющим доступ к данным конфигурации пользователя, извлекать пароли для веб-подключений, не зная мастер-пароля.

    Смягчение

    LibreOffice предлагает параметры безопасности для макросов, от «низкого» до «очень высокого», которые активируют различные наборы политик выполнения в зависимости от уровня доверия, который пользователь может принять.

    Например, если установлено значение low, будут выполняться все макросы, даже если они не подписаны. Средний уровень безопасности отображает диалоговое окно с просьбой одобрить выполнение макроса.

    В случае CVE-2022-26307 уязвимость нельзя использовать, если уровень безопасности макросов установлен на «очень высокий» или если пользователь не поддерживает базу данных доверенных сертификатов.
    Чтобы проверить настройки безопасности макросов, перейдите в «Инструменты» → «Параметры» → «LibreOffice» → «Безопасность», нажмите «Безопасность макросов» и установите уровень «очень высокий».
    macro-security.png

    По оценкам, у LibreOffice 200 миллионов пользователей. Многие из них являются студентами и пользователями Linux, ищущими альтернативу Microsoft Office с открытым исходным кодом, а также пакет программного обеспечения для повышения производительности офиса, который менее подвержен атакам злоумышленников.

    Последняя доступная версия на официальном портале загрузки — 7.3.5.2, которая содержит исправления для упомянутых недостатков, но те, кто ценит более стабильную работу, могут вместо этого получить 7.2.7.

    https://www.bleepingcomputer.com/news/security/libreoffice-addresses-security-issues-with-macros-passwords/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.