LibreOffice beschouwt niet-vertrouwde macro's door lek als vertrouwd
Een kwetsbaarheid in LibreOffice zorgt ervoor dat de software niet-vertrouwde macro's als vertrouwde macro's beschouwt, waar een aanvaller misbruik van kan maken. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. LibreOffice ondersteunt het uitvoeren van macro's in documenten. Standaard voert LibreOffice alleen macro's uit als ze zijn opgeslagen in een vertrouwde bestandslocatie of ze door een vertrouwd certificaat zijn gesigneerd.
Om te bepalen of een macro is gesigneerd door een vertrouwde auteur vergelijkt LibreOffice het gebruikte certificaat met de lijsten van vertrouwde certificaten die in de configuratiedatabase van de gebruiker zijn opgeslagen. De kwetsbaarheid zorgt ervoor dat LibreOffice bij de controle of een macro door een vertrouwde auteur is gesigneerd alleen kijkt of het serienummer en de string van de certificaatuitgever overeenkomen met een vertrouwd certificaat.
Volgens LibreOffice is dit niet voldoende om te controleren dat de macro echt met een vertrouwd certificaat is gesigneerd. Een aanvaller kan een willekeurig certificaat genereren met een serienummer en uitgeversstring die gelijk zijn aan die van een vertrouwd certificaat. LibreOffice zou vervolgens de macro's in het document als vertrouwd beschouwen, terwijl die in werkelijkheid niet-vertrouwd zijn. De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt.
Wachtwoorden
Verder zijn erin LibreOffice twee kwetsbaarheden (CVE-2022-26307 en CVE-2022-26306) verholpen met betrekking tot encryptiesleutels en opgeslagen wachtwoorden. De master key die toegang tot opgeslagen wachtwoorden geeft bleek kwetsbaar voor bruteforce-aanvallen. Daarnaast bleek het mogelijk om wachtwoorden te achterhalen zonder het Master Password te weten. De kwetsbaarheden werden gevonden door het bedrijf OpenSource Security, dat op verzoek van de Duitse overheid LibreOffice onderzocht. Gebruikers wordt aangeraden om te updaten naar versies 7.2.7 of 7.3.3 of nieuwer.
Dit lek kan best wel grote gevolgen hebben voor gebruikers van LibreOffice. Update dus zo snel mogelijk!
De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt. Dat is ook mooi. Kwa security en oplostijd nog steeds ver boven de tegenhanger.
Dit lek kan best wel grote gevolgen hebben voor gebruikers van LibreOffice. Update dus zo snel mogelijk!
Ik denk dat het een oerkreet is.
Goed dat ze het spotten maar als je kijkt naar de waarschijnlijkheid van issues met dit 'lek' zijn de mogelijkheden vrij beperkt.
De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt. Dat is ook mooi. Kwa security en oplostijd nog steeds ver boven de tegenhanger.
Wel zo handig.
Ik tik altijd in HOOFDLETTERS omdat:
1) Ik Caps Lock aan heb staan.
2) Ik altijd vergeet Caps Lock uit te zetten.
3) Val me niet lastig met je Caps Lock man!
4) Caps Lock, wat is dat?
Dat is mooi! De recentste versie is echter LibreOffice 7.3.5, uitgekomen op 21 juli 2022.
https://blog.documentfoundation.org/blog/2022/07/21/libreoffice-7-3-5-community/
Ik tik altijd in HOOFDLETTERS omdat:
1) Ik Caps Lock aan heb staan.
2) Ik altijd vergeet Caps Lock uit te zetten.
3) Val me niet lastig met je Caps Lock man!
4) Caps Lock, wat is dat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
