LibreOffice paketi, makroların yürütülmesi ve web bağlantıları için parolaların korunmasıyla ilgili çeşitli güvenlik açıklarını ele alacak şekilde güncellendi.
Geliştirici, ürünün kararlı sürümünde (LibreOffice 7.2) ve kararsız dalda (7.3) düzeltmeler uyguladı.
Toplamda, üç güvenlik açığı için düzeltmeler vardır. İlki CVE-2022-26305 olarak izlenir ve makroyu imzalamak için kullanılan sertifika kullanıcının yapılandırma veritabanındaki girişlerle eşleşmese bile makro kodunun hedef cihazda çalışmasına izin verir.
LibreOffice, bir makronun kullanıcının güvendiği biri (yani bir iş arkadaşı) tarafından oluşturulup oluşturulmadığını ve imzalanıp imzalanmadığını belirlemek için bir kontrol özelliğine sahiptir, böylece bir uyumsuzluk durumunda makro kodunu çalıştırmaz.
“Düşman, LibreOffice’in güvenilir yazara ait olarak sunacağı güvenilir bir sertifikaya özdeş bir seri numarasına ve veren bir dizeye sahip rastgele bir sertifika oluşturabilir, bu da kullanıcının yanlış güvenilen makrolarda bulunan rasgele kodu yürütmesine neden olabilir,” diye açıklıyor danışma belgesi. .
İkinci sorun artık CVE-2022-26307 olarak tanımlandı. Kullanıcının yapılandırma veritabanında web bağlantıları için parolaları depolayan ana anahtarın zayıf kodlamasıyla ilgili bir sorunu giderir.
Anahtarın kötü kodlanması, entropisini 128’den 43 bit’e düşürerek, bir saldırganın kaba kuvvet kullanmasına ve saklanan şifrelere erişmesine izin verdi.
Yazılımın güncellenmiş sürümünde, kayıtlı parolaları olan kullanıcılardan sabit yöntemi kullanarak otomatik olarak bunları yeniden şifrelemeleri istenecektir.
Son olarak, kullanıcının yapılandırma verilerine erişimi olan saldırganların ana parolayı bilmeden web bağlantıları için parolaları almasına olanak tanıyan bir kusur olan CVE-2022-26306 var.
Azaltma
LibreOffice, makrolar için “düşük”ten “çok yüksek”e kadar değişen güvenlik seçenekleri sunar; bu, kullanıcının rahatlıkla kabul edebileceği güven düzeyine bağlı olarak farklı yürütme ilkeleri setlerini etkinleştirir.
Örneğin, düşük olarak ayarlanırsa, imzasız olsalar bile tüm makrolar yürütülür. Orta güvenlik düzeyi, kullanıcıdan makroların yürütülmesini onaylamasını isteyen bir iletişim kutusu görüntüler.
CVE-2022-26307 durumunda, makro güvenlik seviyesi “çok yüksek” olarak ayarlanmışsa veya kullanıcı güvenilir sertifikalardan oluşan bir veritabanı tutmuyorsa kusurdan yararlanılamaz.
Makro güvenlik ayarlarınızı kontrol etmek için Araçlar → Seçenekler → LibreOffice → Güvenlik’e gidin, “Makro Güvenliği” üzerine tıklayın ve seviyeyi “çok yüksek” olarak ayarlayın.
LibreOffice’in 200 milyon kullanıcısı olduğu tahmin ediliyor. Birçoğu, Microsoft Office’e açık kaynaklı bir alternatif ve tehdit aktörleri tarafından daha az hedeflenen bir ofis üretkenliği yazılım paketi arayan öğrenciler ve Linux kullanıcılarıdır.
Resmi indirme portalında mevcut olan en son sürüm, bahsedilen kusurlar için düzeltmeler içeren 7.3.5.2’dir, ancak daha istikrarlı bir performans takdir edenler bunun yerine 7.2.7’yi almak isteyebilir.