Os responsáveis pela suíte de aplicativos LibreOffice liberaram nesta quinta-feira (28) mais uma grande atualização de segurança, que resolve aberturas que permitiriam o ataque usando macros e o roubo de senhas. O update é de instalação recomendada para todos os usuários e está disponível tanto para a versão estável dos softwares quanto para a instável, que ainda roda recursos em teste.
- LibreOffice vs OnlyOffice: qual alternativa ao Microsoft Office é melhor?
- Microsoft vai dificultar uso de macros para evitar ataques no Office
Três vulnerabilidades de criticidade média a alta são resolvidas aqui. Na primeira, listada como CVE-2022-26305, é resolvido um problema de checagem de certificados relacionados aos macros, com o sistema permitindo que recursos não autenticados nem liberados pelo usuário rodassem no sistema, abrindo as portas para ataques como os que acontecem no Microsoft Office, por exemplo.
Para lidar com esse tipo de exploração, o LibreOffice possui um sistema de assinaturas de macros, que só rodam quando há verificação positiva de que um usuário confia no outro. Na brecha agora corrigida, criminosos poderiam simular certificados válidos usando códigos seriais, fazendo o sistema pensar estar diante de um arquivo válido e dando abertura para a execução remota de códigos.
–
Canaltech no Youtube: notícias, análise de produtos, dicas, cobertura de eventos e muito mais! Assine nosso canal no YouTube, todo dia tem vídeo novo para você!
–
Além da atualização, os responsáveis pelo desenvolvimento do LibreOffice pedem que os usuários revissem as configurações de segurança relacionadas aos macros, que permitem diferentes tipos de funcionamento. Há desde um nível baixo de proteção, que libera a execução dos códigos, até o muito alto, que somente permite aqueles certificados pelo sistema e apenas depois de uma nova autorização pelo menu; os usuários nessa categoria, inclusive, não estavam suscetíveis à brecha agora corrigida.
As outras duas vulnerabilidades estão relacionadas à proteção de senhas para documentos com conexões a sites. Na primeira, a CVE-2022-26307, a falha está no uso de criptografia fraca no sistema de armazenamento de credenciais, permitindo que ataques de força-bruta as descobrissem; já a segunda, CVE-2022-26306, permitiria o acesso a dados de configuração e acesso sem a devida validação.
Com os updates, o LibreOffice chega à versão estável 7.2.7, enquanto a instável já está em 7.3.5.2. O pacote de aplicativos reúne softwares de produtividade como editores de textos, planilhas e apresentações de slides, servindo como uma alternativa de código aberto ao Office, da Microsoft.
Trending no Canaltech:
- Buracos misteriosos no fundo do oceano intrigam os cientistas
- Por quanto tempo o álcool fica no sangue? É possível acelerar sua eliminação?
- James Webb pode ter quebrado o próprio recorde de galáxia mais distante já vista
- Faz sentido desligar ou reiniciar o modem quando a internet está ruim?
- Adolescente solta 1,4 milhão de rãs em quintal sem pensar nas consequências
Fonte: Canaltech
