L’équipe derrière LibreOffice a publié des mises à jour de sécurité pour corriger trois failles de sécurité dans le logiciel de productivité, dont l’une pourrait être exploitée pour obtenir une exécution de code arbitraire sur les systèmes affectés.
Répertorié sous le nom de CVE-2022-26305, le problème a été décrit comme un cas de validation incorrecte du certificat lors de la vérification de la signature d’une macro par un utilisateur de confiance, ce qui conduit à l’exécution de code malveillant.
« Un adversaire pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d’émetteur identiques à ceux d’un certificat de confiance que LibreOffice présenterait comme appartenant à l’auteur de confiance, ce qui pourrait conduire l’utilisateur à exécuter du code arbitraire contenu dans des macros incorrectement approuvées« , a déclaré LibreOffice dans un avis.
L’utilisation d’un vecteur d’initialisation (IV) statique pendant le chriffrage(CVE-2022-26306) qui aurait pu affaiblir la sécurité si un mauvais acteur avait accès aux informations de configuration de l’utilisateur est également résolue.
Enfin, les mises à jour résolvent également la CVE-2022-26307, dans laquelle la clé principale était mal codée, rendant les mots de passe stockés sensibles à une attaque par bruteforce si un adversaire est en possession de la configuration de l’utilisateur.
Les trois vulnérabilités, qui ont été signalées par OpenSource Security GmbH au nom de l’Office fédéral allemand de la sécurité de l’information, ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.
Ces correctifs interviennent cinq mois après que la Document Foundation a corrigé un autre bogue de validation incorrecte des certificats (CVE-2021-25636) en février 2022. En octobre dernier, trois failles d’usurpation d’identité ont été corrigées. Elles pouvaient être utilisées pour modifier des documents et les faire apparaître comme signés numériquement par une source fiable.