Do not speak Portuguese? Translate this site with Google or Bing Translator

LibreOffice corrigiu problemas de segurança com macros e senhas

Nas atualizações recentes das séries 7.2 e 7.3, o LibreOffice corrigiu problemas de segurança com macros e senhas.

O LibreOffice é uma suíte de escritório livre compatível com os principais pacotes de escritório do mercado.

E, recentemente, o pacote LibreOffice foi atualizado para solucionar várias vulnerabilidades de segurança relacionadas à execução de macros e à proteção de senhas para conexões da web.

LibreOffice corrigiu problemas de segurança com macros e senhas

LibreOffice corrigiu problemas de segurança com macros e senhas
LibreOffice corrigiu problemas de segurança com macros e senhas

O desenvolvedor implementou correções na versão estável do produto (LibreOffice 7.2) e na ramificação instável (7.3). No total, existem correções para três vulnerabilidades.

O primeiro é rastreado como CVE-2022-26305 e permite que o código de macro seja executado no dispositivo de destino, mesmo que o certificado usado para assinar a macro não corresponda às entradas no banco de dados de configuração do usuário.

O LibreOffice apresenta uma verificação para determinar se uma macro foi criada e assinada por alguém em quem o usuário confia (ou seja, um colega) para que não execute o código da macro em caso de incompatibilidade.

Segundo o comunicado:

“Um adversário pode criar um certificado arbitrário com um número de série e uma string de emissor idêntica a um certificado confiável que o LibreOffice apresentaria como pertencente ao autor confiável, potencialmente levando o usuário a executar código arbitrário contido em macros indevidamente confiáveis”

O segundo problema agora é identificado como CVE-2022-26307. Ele aborda um problema com a codificação ruim da chave mestra que armazena senhas para conexões da Web no banco de dados de configuração do usuário.

A codificação incorreta da chave enfraqueceu sua entropia de 128 para 43 bits, permitindo que um invasor a fizesse força bruta e acessasse as senhas armazenadas.

Na versão atualizada do software, os usuários com senhas armazenadas serão solicitados automaticamente a criptografá-las novamente usando o método fixo.

Por fim, há o CVE-2022-26306, uma falha que permite que invasores com acesso aos dados de configuração do usuário recuperem senhas de conexões web sem saber a senha mestra.

O LibreOffice oferece opções de segurança para macros, variando de “baixo” a “muito alto”, que ativam diferentes conjuntos de políticas de execução dependendo do nível de confiança que o usuário se sente confortável em aceitar.

Por exemplo, se definido como baixo, todas as macros serão executadas mesmo se não estiverem assinadas. O nível de segurança médio exibe uma caixa de diálogo solicitando que o usuário aprove a execução de macros.

No caso do CVE-2022-26307, a falha não é explorável se o nível de segurança da macro estiver definido como “muito alto” ou se o usuário não mantiver um banco de dados de certificados confiáveis.

Para verificar suas configurações de segurança de macro, navegue até Tools → Options → LibreOffice → Security (Ferramentas → Opções → LibreOffice → Segurança), clique em “Macro Security” (Segurança de macros) e defina o nível como “very high” (muito alto).

LibreOffice corrigiu problemas de segurança com macros e senhas
LibreOffice corrigiu problemas de segurança com macros e senhas – Configurando a segurança de macros no LibreOffice

Estima-se que o LibreOffice tenha 200 milhões de usuários. Muitos deles são estudantes e usuários de Linux que procuram uma alternativa de código aberto ao Microsoft Office, bem como um pacote de software de produtividade de escritório menos visado por agentes de ameaças.

A versão mais recente disponível no portal de download oficial é a 7.3.5.2, que apresenta correções para as falhas mencionadas, mas aqueles que apreciam um desempenho mais estável podem querer obter a 7.2.7.
Como instalar a versão mais recente do LibreOffice no Linux

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.