Одна из уязвимостей позволяет злоумышленникам выполнять произвольный код в системе жертвы с помощью макросов.
Из трех исправленных уязвимостей стоит выделить самую опасную, отслеживаемую как CVE-2022-26305 . Она связана с неправильной валидацией сертификата при проверке подписи макросов. Успешная эксплуатация этой уязвимости позволит злоумышленнику создать собственный сертификат с серийным номером и строкой эмитента, которые абсолютно идентичны проверенному сертификату. После этого LibreOffice будет считать сертификат выданным проверенной организацией, что может привести к выполнению произвольного кода, упакованного в макросы.
Также разработчиками были устранены две другие, не такие опасные уязвимости:
Статичный вектор инициализации (IV) при шифровании ( CVE-2022-26306 ), позволяющий получить доступ к информации о конфигурации пользователя, что могло ослабить защиту;
Плохо закодированный мастер-ключ ( CVE-2022-26307 ), позволяющий провести брутфорс сохраненных паролей.
Все три уязвимости были устранены в LibreOffice версий 7.2.7, 7.3.2 и 7.3.3. Специалисты рекомендуют пользователям обновить ПО до последних версий как можно скорее.
Одно найти легче, чем другое. Спойлер: это не темная материя