LibreOffice和OpenOffice发布更新,修复了一个可能导致攻击者篡改签名文档的中危漏洞。此漏洞允许攻击者在宏中插入恶意代码,欺骗用户认为文档来自可信源。建议用户立即更新到最新版本(OpenOffice4.1.10及以上,LibreOffice7.0.5或7.1.1及以上)以消除风险,或禁用宏功能以提高安全性。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
LibreOffice 和 OpenOffice 推出更新,修复了一个漏洞,它可导致攻击者操纵看似由可信来源签名的文档。
尽管该漏洞被评级为中危漏洞,但后果可能十分严重。文档宏中使用的数字化签名用于帮助用户验证该文档未遭修改,是可信任的。允许任何人签名打开宏的文档本身且使文档看似可信,是诱骗用户运行恶意代码的良计。
该漏洞编号为CVE-2021-41832(OpenOffice),是由德国波鸿鲁尔大学的四名研究员发现的。该漏洞同样影响 OpenOffice 的分支LibreOffice,编号为CVE-2021-25635。
解决风险
建议使用这两个开源office 套件的用户立即更新至最新版本:OpenOffice 4.1.10及后续版本与 LibreOffice 7.0.5 或7.1.1及后续版本。由于这两款应用程序并不具有自动更新机制,因此用户应该立即从相应的下载中心下载最新版本。如果用户使用的是 Linux 系统,而上述提到的版本并未出现在分发包管理器中,则建议用户从下载中心下载 “deb” 或 “rpm” 包或构建 LibreOffice。如不管出于任何原因,无法升级至最新版本,则可完全禁用office套件上的宏特性,或者避免信任包含宏的任何文档。用户可在“工具→选项→LibreOffice→安全“下点击”宏安全”来设置宏安全性。在新的对话中,可选择四种安全等级,推荐选择”高“或“非常高”的级别。
如用户仍在运行易受攻击的老旧版本,则不应依赖于“可信列表”功能,原因是无效的签名算法仍然可能使恶意文档看似源自可信来源。
推荐阅读
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
补丁打补丁:利用3个新漏洞绕过 LibreOffice 2个严重缺陷的补丁
原文链接
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
