Nas atualizações recentes das séries 7.2 e 7.3, o LibreOffice corrigiu problemas de segurança com macros e senhas.
O LibreOffice é uma suíte de escritório livre compatível com os principais pacotes de escritório do mercado.
E, recentemente, o pacote LibreOffice foi atualizado para solucionar várias vulnerabilidades de segurança relacionadas à execução de macros e à proteção de senhas para conexões da web.
LibreOffice corrigiu problemas de segurança com macros e senhas
O desenvolvedor implementou correções na versão estável do produto (LibreOffice 7.2) e na ramificação instável (7.3). No total, existem correções para três vulnerabilidades.
O primeiro é rastreado como CVE-2022-26305 e permite que o código de macro seja executado no dispositivo de destino, mesmo que o certificado usado para assinar a macro não corresponda às entradas no banco de dados de configuração do usuário.
O LibreOffice apresenta uma verificação para determinar se uma macro foi criada e assinada por alguém em quem o usuário confia (ou seja, um colega) para que não execute o código da macro em caso de incompatibilidade.
Segundo o comunicado:
“Um adversário pode criar um certificado arbitrário com um número de série e uma string de emissor idêntica a um certificado confiável que o LibreOffice apresentaria como pertencente ao autor confiável, potencialmente levando o usuário a executar código arbitrário contido em macros indevidamente confiáveis”
O segundo problema agora é identificado como CVE-2022-26307. Ele aborda um problema com a codificação ruim da chave mestra que armazena senhas para conexões da Web no banco de dados de configuração do usuário.
A codificação incorreta da chave enfraqueceu sua entropia de 128 para 43 bits, permitindo que um invasor a fizesse força bruta e acessasse as senhas armazenadas.
Na versão atualizada do software, os usuários com senhas armazenadas serão solicitados automaticamente a criptografá-las novamente usando o método fixo.
Por fim, há o CVE-2022-26306, uma falha que permite que invasores com acesso aos dados de configuração do usuário recuperem senhas de conexões web sem saber a senha mestra.
O LibreOffice oferece opções de segurança para macros, variando de “baixo” a “muito alto”, que ativam diferentes conjuntos de políticas de execução dependendo do nível de confiança que o usuário se sente confortável em aceitar.
Por exemplo, se definido como baixo, todas as macros serão executadas mesmo se não estiverem assinadas. O nível de segurança médio exibe uma caixa de diálogo solicitando que o usuário aprove a execução de macros.
No caso do CVE-2022-26307, a falha não é explorável se o nível de segurança da macro estiver definido como “muito alto” ou se o usuário não mantiver um banco de dados de certificados confiáveis.
Para verificar suas configurações de segurança de macro, navegue até Tools → Options → LibreOffice → Security (Ferramentas → Opções → LibreOffice → Segurança), clique em “Macro Security” (Segurança de macros) e defina o nível como “very high” (muito alto).
Estima-se que o LibreOffice tenha 200 milhões de usuários. Muitos deles são estudantes e usuários de Linux que procuram uma alternativa de código aberto ao Microsoft Office, bem como um pacote de software de produtividade de escritório menos visado por agentes de ameaças.
A versão mais recente disponível no portal de download oficial é a 7.3.5.2, que apresenta correções para as falhas mencionadas, mas aqueles que apreciam um desempenho mais estável podem querer obter a 7.2.7.
Como instalar a versão mais recente do LibreOffice no Linux
