LibreOffice : 3 failles corrigées, dont une qui permet une exécution de code malveillant

Une nouvelle version de LibreOffice est disponible et il s'agit d'une mise à jour de sécurité qui corrige trois failles de sécurité, dont l'une pourrait être exploitée pour réaliser une exécution de code malveillant sur les machines équipées de la suite bureautique.

Ces trois vulnérabilités sont associées aux références suivantes : CVE-2022-26305, CVE-2022-26306, et  CVE-2022-26307. Les trois vulnérabilités, qui ont été signalées par l'OpenSource Security GmbH ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.

La vulnérabilité la plus dangereuse et celle associée à la référence CVE-2022-26305. Elle correspond à un problème de validation du certificat lors de la vérification de la signature d'une macro créée par un auteur approuvé. En exploitant cette faille de sécurité, un attaquant peut exécuter du code malveillant à partir des macros. Sur son site, l'équipe de The Document Foundation, qui gère LibreOffice, précise : "Un attaquant pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d'émetteur identique à un certificat de confiance que LibreOffice présenterait comme appartenant à un auteur approuvé, ce qui pourrait amener l'utilisateur à exécuter du code arbitraire contenu dans des macros approuvées alors qu'elles ne devraient pas l'être."

Même si je n'en parle pas régulièrement, LibreOffice publie des mises à jour de sécurité plusieurs fois par an. Ces nouveaux correctifs sont disponibles 5 mois après que les développeurs du projet LibreOffice aient corrigé un autre bug de sécurité lié à la validation des certificats (référencé CVE-2021-25636). Par ailleurs, et même si cela remonte un peu plus, sachez qu'en octobre 2021, trois failles d'usurpation d'identité ont été corrigées et elles pouvaient être utilisées pour modifier des documents et les faire apparaître comme signés numériquement par une source fiable.

Si vous utilisez LibreOffice : à vos mises à jour ! La dernière version de LibreOffice disponible à ce jour, à savoir LibreOffice 7.3.5 intègre ces correctifs bien entendu.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.