LibreOffice comble trois failles critiques
Charles Gouin-Peyrot
Publié le 28 juillet 2022 · 2 min de lecture
"Un adversaire pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d'émetteur identiques à ceux d'un certificat de confiance que LibreOffice présenterait comme appartenant à l'auteur de confiance, ce qui pourrait conduire l'utilisateur à exécuter du code arbitraire contenu dans des macros incorrectement approuvées", a déclaré LibreOffice dans un avis.L'utilisation d'un vecteur d'initialisation (IV) statique pendant le chriffrage(CVE-2022-26306) qui aurait pu affaiblir la sécurité si un mauvais acteur avait accès aux informations de configuration de l'utilisateur est également résolue.
Enfin, les mises à jour résolvent également la CVE-2022-26307, dans laquelle la clé principale était mal codée, rendant les mots de passe stockés sensibles à une attaque par bruteforce si un adversaire est en possession de la configuration de l'utilisateur.
Les trois vulnérabilités, qui ont été signalées par OpenSource Security GmbH au nom de l'Office fédéral allemand de la sécurité de l'information, ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.
Ces correctifs interviennent cinq mois après que la Document Foundation a corrigé un autre bogue de validation incorrecte des certificats (CVE-2021-25636) en février 2022. En octobre dernier, trois failles d'usurpation d'identité ont été corrigées. Elles pouvaient être utilisées pour modifier des documents et les faire apparaître comme signés numériquement par une source fiable. L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.