LibreOffice a publié des mises à jour de sécurité pour corriger trois failles de sécurité dans le logiciel de productivité, dont l'une pourrait être exploitée pour obtenir une exécution de code arbitraire sur les systèmes affectés.

Identifié sous le nom de CVE-2022-26305, le problème est dû à une validation incorrecte du certificat lors de la vérification de la signature d'une macro par un auteur de confiance, ce qui entraîne l'exécution de code malveillant dans les macros.

Selon LibreOffice, un acteur de la menace pourrait créer un certificat arbitraire avec un numéro de série et une chaîne d'émetteur identiques à ceux d'un certificat de confiance que LibreOffice présenterait comme appartenant à l'auteur de confiance, ce qui conduirait potentiellement à une exécution de code arbitraire contenu dans des macros incorrectement approuvées.

Le deuxième problème, CVE-2022-26306, est dû à l’utilisation d’un vecteur d’initialisation (IV) statique pendant le cryptage, cela pourrait affaiblir la sécurité si l’attaquant a accès aux informations de configuration de l'utilisateur.

Enfin, les mises à jour résolvent également la CVE-2022-26307, dans laquelle la clé principale était mal codée, rendant les mots de passe stockés sensibles à une attaque par force brute.

Il est recommandé de passer aux versions corrigées 7.2.7,7.3.2 et 7.3.3 de LibreOffice afin d’atténuer les risques potentiels des vulnérabilités mentionnées.