أصدر الفريق المسؤول عن LibreOffice تحديثات أمنية لإصلاح ثلاثة عيوب أمنية في برنامج الإنتاجية productivity software ، يمكن استغلال أحدها لتحقيق تنفيذ تعليمات برمجية عشوائية على الأنظمة المتأثرة.
تم تتبع المشكلة كـ CVE-2022-26305، وقد تم وصف المشكلة على أنها حالة التحقق من صحة الشهادة بشكل غير صحيح عند التحقق مما إذا كان قد تم توقيع ماكرو بواسطة مؤلف موثوق، مما يؤدي إلى تنفيذ التعليمات البرمجية المارقة التي تم حزمها داخل وحدات الماكرو.
"لذلك يمكن للخصم إنشاء شهادة تعسفية برقم تسلسلي وسلسلة مُصدر مطابقة لشهادة موثوقة تقدمها LibreOffice على أنها تابعة للمؤلف الموثوق به، مما قد يؤدي إلى قيام المستخدم بتنفيذ تعليمات برمجية عشوائية مضمنة في وحدات الماكرو غير الموثوق بها بشكل صحيح ،" LibreOffice قال في استشاري.
تم أيضًا حل استخدام متجه التهيئة الثابت ( IV ) أثناء التشفير ( CVE-2022-26306 ) والذي كان من الممكن أن يضعف الأمان في حالة وصول جهة فاعلة سيئة إلى معلومات تكوين المستخدم.
أخيرًا، تعمل التحديثات أيضًا على حل CVE-2022-26307، حيث تم تشفير المفتاح الرئيسي بشكل سيئ، مما يجعل كلمات المرور المخزنة عرضة لهجوم القوة الغاشمة إذا كان الخصم يمتلك تكوين المستخدم.
تمت معالجة الثغرات الأمنية الثلاثة، التي تم الإبلاغ عنها بواسطة OpenSource Security GmbH نيابة عن المكتب الفيدرالي الألماني لأمن المعلومات ، في إصدارات 7.2.7 و 7.3.2 و 7.3.3 من LibreOffice.
ليست هناك تعليقات