Новые патчи для LibreOffice устранят три уязвимости

Новые патчи для LibreOffice выпустила команда разработчиков. Их установка позволит устранить сразу три уязвимости.

Одна из них представляет серьезную угрозу и получила идентификатор CVE-2022-26305. В описании значится, что она характеризуется некорректно работающей валидацией сертификата. Если уязвимость будет использована злоумышленником, он получит возможность выполнения произвольного кода при помощи макросов.

Как уточнили в LibreOffice, предполагаемый алгоритм действий злоумышленника выглядит следующим образом: он создает сертификат с определённым серийным номером и с идентичной имеющейся в настоящем сертификате строкой эмитента. LibreOffice воспринимает такой сертификат, как выданный проверенной организацией.

Еще одна уязвимость CVE-2022-26306 представляла собой статичный вектор инициализации при шифровании, дающий хакеру возможность ослабить защиту в пользовательских настройках. Третья брешь CVE-2022-26307 связана с плохо зашифрованным мастер-ключом, который делает возможным брутфорс сохранённых паролей.