LibreOffice本周发布最新版7.2及7.3版,以修补3项漏洞。
三项漏洞为CVE-2022-26305、CVE-2022-26306、CVE-2022-26307,皆为德国联邦资讯安全办公室下的OpenSource Security公司披露。
首先,LibreOffice支持执行宏,但理论上默认只执行可信赖的文件,或是获得可信赖凭证签发的宏。LibreOffice是比对存储在用户组态数据库中的可信赖签章,以及下载文件的签章来判断宏是否值得信赖。CVE-2022-26305漏洞则是出在只比对串行码及签发者字符串,导致签章验证不当,可能让用户通过宏执行任意程序代码。
另二项则和密码存储安全性有关。LibreOffice可允许在用户组态数据库中,以加密存储Web连接的密码。加密是以用户提供的单一主密钥进行。而CVE-2022-26306发生在加密过程需要初始矢量(initiation vector)的组件未做改变,让能访问到用户设置文件的攻击者可取得密码。
CVE-2022-26307则是发生在主密钥加密算法,使加密的熵(entropy)由128 bit降至43 bit,让访问到用户组态档的攻击者得以暴力破解存储的密码。
LibreOffice以7.2.7及7.3.2修补CVE-2022-26305,并以7.2.7及7.3.3解决CVE- CVE-2022-26306和2022-26307漏洞。
最新更新版为7.3.5.2,但想要稳定一点的用户可下载7.2.7版。