image

LibreOffice beschouwt niet-vertrouwde macro's door lek als vertrouwd

vrijdag 29 juli 2022, 10:05 door Redactie, 11 reacties

Een kwetsbaarheid in LibreOffice zorgt ervoor dat de software niet-vertrouwde macro's als vertrouwde macro's beschouwt, waar een aanvaller misbruik van kan maken. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. LibreOffice ondersteunt het uitvoeren van macro's in documenten. Standaard voert LibreOffice alleen macro's uit als ze zijn opgeslagen in een vertrouwde bestandslocatie of ze door een vertrouwd certificaat zijn gesigneerd.

Om te bepalen of een macro is gesigneerd door een vertrouwde auteur vergelijkt LibreOffice het gebruikte certificaat met de lijsten van vertrouwde certificaten die in de configuratiedatabase van de gebruiker zijn opgeslagen. De kwetsbaarheid zorgt ervoor dat LibreOffice bij de controle of een macro door een vertrouwde auteur is gesigneerd alleen kijkt of het serienummer en de string van de certificaatuitgever overeenkomen met een vertrouwd certificaat.

Volgens LibreOffice is dit niet voldoende om te controleren dat de macro echt met een vertrouwd certificaat is gesigneerd. Een aanvaller kan een willekeurig certificaat genereren met een serienummer en uitgeversstring die gelijk zijn aan die van een vertrouwd certificaat. LibreOffice zou vervolgens de macro's in het document als vertrouwd beschouwen, terwijl die in werkelijkheid niet-vertrouwd zijn. De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt.

Wachtwoorden

Verder zijn erin LibreOffice twee kwetsbaarheden (CVE-2022-26307 en CVE-2022-26306) verholpen met betrekking tot encryptiesleutels en opgeslagen wachtwoorden. De master key die toegang tot opgeslagen wachtwoorden geeft bleek kwetsbaar voor bruteforce-aanvallen. Daarnaast bleek het mogelijk om wachtwoorden te achterhalen zonder het Master Password te weten. De kwetsbaarheden werden gevonden door het bedrijf OpenSource Security, dat op verzoek van de Duitse overheid LibreOffice onderzocht. Gebruikers wordt aangeraden om te updaten naar versies 7.2.7 of 7.3.3 of nieuwer.

Reacties (11)
29-07-2022, 10:07 door Anoniem
THIS IS WHAT WE CALL A MEME MOMENT!
29-07-2022, 10:42 door Anoniem
vroem vroem updatez...
29-07-2022, 10:50 door BerryVHouten
Door Anoniem: THIS IS WHAT WE CALL A MEME MOMENT!
Je Caps Lock staat nog aan....

Dit lek kan best wel grote gevolgen hebben voor gebruikers van LibreOffice. Update dus zo snel mogelijk!
29-07-2022, 10:57 door Anoniem
Gelukkig is het patchen van LibreOffice een fluitje van een cent onder Linux. Windows weet ik niet.
De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt. Dat is ook mooi. Kwa security en oplostijd nog steeds ver boven de tegenhanger.
29-07-2022, 11:49 door Anoniem
Door BerryVHouten:
Door Anoniem: THIS IS WHAT WE CALL A MEME MOMENT!
Je Caps Lock staat nog aan....

Dit lek kan best wel grote gevolgen hebben voor gebruikers van LibreOffice. Update dus zo snel mogelijk!
Heb ik onder windows ook wel eens last van. Windows kan geen upper en lower case onderscheiden.
Ik denk dat het een oerkreet is.
29-07-2022, 12:07 door Anoniem
Hoe groot is de kans dat een gebruiker EN macro-beveiliging niet op ZH heeft staan EN locale vertrouwde certificaten heeft EN een hacker de serienummers en de string van de uitgiftetoko weet?

Goed dat ze het spotten maar als je kijkt naar de waarschijnlijkheid van issues met dit 'lek' zijn de mogelijkheden vrij beperkt.
29-07-2022, 14:47 door Open source gebruiker
Door Anoniem: Gelukkig is het patchen van LibreOffice een fluitje van een cent onder Linux. Windows weet ik niet.
De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt. Dat is ook mooi. Kwa security en oplostijd nog steeds ver boven de tegenhanger.
In Windows zal het niet anders zijn, alleen moet je het zelf in de gaten blijven houden, dit in tegenstelling tot Linux, waar de updates spontaan gemeld worden.
Wel zo handig.
29-07-2022, 21:42 door Anoniem
Je Caps Lock staat nog aan....
Aha, eindelijk een nieuwe poll...

Ik tik altijd in HOOFDLETTERS omdat:

1) Ik Caps Lock aan heb staan.
2) Ik altijd vergeet Caps Lock uit te zetten.
3) Val me niet lastig met je Caps Lock man!
4) Caps Lock, wat is dat?
30-07-2022, 15:54 door Anoniem
Geupdate naar 7.3.4. Geen centje pijn. Mooie installatie agent. Nieuw solution center ook gedownload.
30-07-2022, 19:39 door Piscatorius
Door Anoniem: Geupdate naar 7.3.4. Geen centje pijn. Mooie installatie agent. Nieuw solution center ook gedownload.

Dat is mooi! De recentste versie is echter LibreOffice 7.3.5, uitgekomen op 21 juli 2022.

https://blog.documentfoundation.org/blog/2022/07/21/libreoffice-7-3-5-community/
31-07-2022, 10:23 door Anoniem
Door Anoniem:
Je Caps Lock staat nog aan....
Aha, eindelijk een nieuwe poll...

Ik tik altijd in HOOFDLETTERS omdat:

1) Ik Caps Lock aan heb staan.
2) Ik altijd vergeet Caps Lock uit te zetten.
3) Val me niet lastig met je Caps Lock man!
4) Caps Lock, wat is dat?
5) De kat altijd op mijn Shift toets ligt voor aandacht
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.