LibreOffice’in arkasındaki ekip, üretkenlik yazılımındaki üç güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı; bunlardan biri, etkilenen sistemlerde rastgele kod yürütülmesini sağlamak için kullanılabilir.
CVE-2022-26305 olarak izlenen sorun, bir makronun güvenilir bir yazar tarafından imzalanıp imzalanmadığını kontrol ederken, makrolar içinde paketlenmiş hileli kodun yürütülmesine yol açan uygunsuz sertifika doğrulama durumu olarak tanımlanmıştır.
“Bu nedenle, bir düşman, LibreOffice’in güvenilir yazara ait olarak sunacağı güvenilir bir sertifikaya özdeş bir seri numarasına ve veren bir dizeye sahip rasgele bir sertifika oluşturabilir, bu da potansiyel olarak kullanıcının yanlış güvenilen makrolarda bulunan rasgele kodu yürütmesine yol açabilir,” LibreOffice bir tavsiyede söyledi.
Ayrıca, şifreleme (CVE-2022-26306) sırasında kötü bir aktörün kullanıcının yapılandırma bilgilerine erişimi olması durumunda güvenliği zayıflatabilecek bir statik başlatma vektörünün (IV) kullanılması da çözümlenmiştir.
Son olarak, güncellemeler ayrıca ana anahtarın kötü kodlanmış olduğu CVE-2022-26307 sorununu da çözer ve bu da, bir saldırganın kullanıcı yapılandırmasına sahip olması durumunda depolanan parolaların kaba kuvvet saldırısına açık hale gelmesine neden olur.
Alman Federal Bilgi Güvenliği Ofisi adına OpenSource Security GmbH tarafından bildirilen üç güvenlik açığı, LibreOffice 7.2.7, 7.3.2 ve 7.3.3 sürümlerinde ele alınmıştır.
Yamalar, Document Foundation’ın Şubat 2022’de başka bir uygunsuz sertifika doğrulama hatasını (CVE-2021-25636) düzeltmesinden beş ay sonra geldi. Geçen Ekim ayında, belgeleri dijitalmiş gibi gösterecek şekilde değiştirmek için kötüye kullanılabilecek üç sahtecilik hatası düzeltildi. güvenilir bir kaynak tarafından imzalanmıştır.