LibreOffice recebe atualização para evitar ataques com macros e roubo de senhas
Por Felipe Demartini | Editado por Claudio Yuge | 29 de Julho de 2022 às 14h00
Os responsáveis pela suíte de aplicativos LibreOffice liberaram nesta quinta-feira (28) mais uma grande atualização de segurança, que resolve aberturas que permitiriam o ataque usando macros e o roubo de senhas. O update é de instalação recomendada para todos os usuários e está disponível tanto para a versão estável dos softwares quanto para a instável, que ainda roda recursos em teste.
- LibreOffice vs OnlyOffice: qual alternativa ao Microsoft Office é melhor?
- Microsoft vai dificultar uso de macros para evitar ataques no Office
Três vulnerabilidades de criticidade média a alta são resolvidas aqui. Na primeira, listada como CVE-2022-26305, é resolvido um problema de checagem de certificados relacionados aos macros, com o sistema permitindo que recursos não autenticados nem liberados pelo usuário rodassem no sistema, abrindo as portas para ataques como os que acontecem no Microsoft Office, por exemplo.
Para lidar com esse tipo de exploração, o LibreOffice possui um sistema de assinaturas de macros, que só rodam quando há verificação positiva de que um usuário confia no outro. Na brecha agora corrigida, criminosos poderiam simular certificados válidos usando códigos seriais, fazendo o sistema pensar estar diante de um arquivo válido e dando abertura para a execução remota de códigos.
Além da atualização, os responsáveis pelo desenvolvimento do LibreOffice pedem que os usuários revissem as configurações de segurança relacionadas aos macros, que permitem diferentes tipos de funcionamento. Há desde um nível baixo de proteção, que libera a execução dos códigos, até o muito alto, que somente permite aqueles certificados pelo sistema e apenas depois de uma nova autorização pelo menu; os usuários nessa categoria, inclusive, não estavam suscetíveis à brecha agora corrigida.
As outras duas vulnerabilidades estão relacionadas à proteção de senhas para documentos com conexões a sites. Na primeira, a CVE-2022-26307, a falha está no uso de criptografia fraca no sistema de armazenamento de credenciais, permitindo que ataques de força-bruta as descobrissem; já a segunda, CVE-2022-26306, permitiria o acesso a dados de configuração e acesso sem a devida validação.
Com os updates, o LibreOffice chega à versão estável 7.2.7, enquanto a instável já está em 7.3.5.2. O pacote de aplicativos reúne softwares de produtividade como editores de textos, planilhas e apresentações de slides, servindo como uma alternativa de código aberto ao Office, da Microsoft.
Fonte: LibreOffice