开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

LibreOffice 的开发人员已在稳定版本 LibreOffice 7.2 和不稳定版本的分支7.3中执行了修复方案。

本次共修复三个漏洞。第一个是CVE-2022-26035，可导致宏代码在目标设备上运行，即使用于签名宏的证书不匹配用户配置数据库中的条目也不例外。

LibreOffice 的检查特性可判断宏是否由用户信任的其他人（如同事）创建和签名，如此在匹配不当的情况下不会执行宏代码。安全公告指出，“攻击者可创建带有序列号的任意证书以及类似于可信证书（由LibreOffice 向可信作者展示）的发行机构字符串，从而可能导致用户执行包含在不当信任的宏中的任意代码。”

第二个漏洞的编号为CVE-2022-26307，和对用户配置数据库中存储web连接的密码的主钥编码不良有关。密钥的不良编码将其熵值从128位降为43位，导致攻击者可实施暴力攻击并访问所存储密码。在更新版本中，存储密码的用户将被自动提示，使用固定方法重新加密。

第三个漏洞是CVE-2022-26306，可导致对用户配置数据拥有访问权限的攻击者，在无需知道主密码的情况下检索web连接的密码。

LibreOffice 提供了关于宏的安全选项，从“低”到“非常高”不等，根据用户愿意接受的信任级别来激活不同的执行策略。例如，如果将安全选项设为“低”，则即使这些宏未签名，则仍然会被执行。中等安全级别会显示一个对话框，要求用户批准宏执行。

在CVE-2022-26307案例中，如果宏的安全级别设置为“非常高”或者用户未维护可信证书数据库，则该缺陷是不可利用的。要检查自己的宏安全设置，则可导航至工具→选项→LibreOffice→Security，点击“宏安全”，并将级别设置为“非常高”。

LibreOffice 预计拥有2亿名用户，其中很多用户是查找 Microsoft Office 替代品以及威胁更小的办公生产力软件套件的学生和 Linux 用户。

官方下载门户网站上的最新可用版本是7.3.5.2，已修复上述缺陷；如用户需要更加稳定的性能，则可获取7.2.7版本。