L’équipe derrière LibreOffice a publié des mises à jour de sécurité pour corriger trois failles de sécurité dans le logiciel de productivité, dont l’une pourrait être exploitée pour obtenir l’exécution de code arbitraire sur les systèmes concernés. Suivi sous le nom de CVE-2022-26305, le problème a été décrit comme un cas de validation de certificat incorrecte lors de la vérification si une macro est signée par un auteur de confiance, entraînant l’exécution de code malveillant intégré aux macros. « Un adversaire pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d’émetteur identiques à un certificat de confiance que LibreOffice présenterait comme appartenant à l’auteur de confiance, conduisant potentiellement l’utilisateur à exécuter du code arbitraire contenu dans des macros de confiance incorrecte », LibreOffice dit dans un avis. L’utilisation d’un vecteur d’initialisation statique (IV) lors du chiffrement (CVE-2022-26306) qui aurait pu affaiblir la sécurité si un mauvais acteur avait accès aux informations de configuration de l’utilisateur a également été résolue. Enfin, les mises à jour résolvent également CVE-2022-26307, dans lequel la clé principale était mal codée, rendant les mots de passe stockés susceptibles d’être attaqués par force brute si un adversaire est en possession de la configuration de l’utilisateur. Les trois vulnérabilités, signalées par OpenSource Security GmbH au nom de l’Office fédéral allemand de la sécurité de l’information, ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice. Les correctifs surviennent cinq mois après que la Document Foundation a corrigé un autre bogue de validation de certificat incorrect (CVE-2021-25636) en février 2022. En octobre dernier, trois failles d’usurpation ont été corrigées qui pourraient être utilisées pour modifier des documents afin de les faire apparaître comme s’ils étaient numériques. signé par une source fiable.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *