LibreOffice、OpenOffice 漏洞可导致黑客欺骗已签名文档
编译:代码卫士
尽管该漏洞被评级为中危漏洞,但后果可能十分严重。文档宏中使用的数字化签名用于帮助用户验证该文档未遭修改,是可信任的。允许任何人签名打开宏的文档本身且使文档看似可信,是诱骗用户运行恶意代码的良计。
该漏洞编号为CVE-2021-41832(OpenOffice),是由德国波鸿鲁尔大学的四名研究员发现的。该漏洞同样影响 OpenOffice 的分支LibreOffice,编号为CVE-2021-25635。
建议使用这两个开源office 套件的用户立即更新至最新版本:OpenOffice 4.1.10及后续版本与 LibreOffice 7.0.5 或7.1.1及后续版本。由于这两款应用程序并不具有自动更新机制,因此用户应该立即从相应的下载中心下载最新版本。如果用户使用的是 Linux 系统,而上述提到的版本并未出现在分发包管理器中,则建议用户从下载中心下载 “deb” 或 “rpm” 包或构建 LibreOffice。如不管出于任何原因,无法升级至最新版本,则可完全禁用office套件上的宏特性,或者避免信任包含宏的任何文档。用户可在“工具→选项→LibreOffice→安全“下点击”宏安全”来设置宏安全性。在新的对话中,可选择四种安全等级,推荐选择”高“或“非常高”的级别。
如用户仍在运行易受攻击的老旧版本,则不应依赖于“可信列表”功能,原因是无效的签名算法仍然可能使恶意文档看似源自可信来源。
LibreOffice 被曝漏洞,打开文档即导致电脑被黑Apache OpenOffice更新修复四个漏洞
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。