Mercado abrirá em 5 h 10 min

LibreOffice recebe atualização para evitar ataques com macros e roubo de senhas

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Os responsáveis pela suíte de aplicativos LibreOffice liberaram nesta quinta-feira (28) mais uma grande atualização de segurança, que resolve aberturas que permitiriam o ataque usando macros e o roubo de senhas. O update é de instalação recomendada para todos os usuários e está disponível tanto para a versão estável dos softwares quanto para a instável, que ainda roda recursos em teste.

Três vulnerabilidades de criticidade média a alta são resolvidas aqui. Na primeira, listada como CVE-2022-26305, é resolvido um problema de checagem de certificados relacionados aos macros, com o sistema permitindo que recursos não autenticados nem liberados pelo usuário rodassem no sistema, abrindo as portas para ataques como os que acontecem no Microsoft Office, por exemplo.

Para lidar com esse tipo de exploração, o LibreOffice possui um sistema de assinaturas de macros, que só rodam quando há verificação positiva de que um usuário confia no outro. Na brecha agora corrigida, criminosos poderiam simular certificados válidos usando códigos seriais, fazendo o sistema pensar estar diante de um arquivo válido e dando abertura para a execução remota de códigos.

Além da atualização, os responsáveis pelo desenvolvimento do LibreOffice pedem que os usuários revissem as configurações de segurança relacionadas aos macros, que permitem diferentes tipos de funcionamento. Há desde um nível baixo de proteção, que libera a execução dos códigos, até o muito alto, que somente permite aqueles certificados pelo sistema e apenas depois de uma nova autorização pelo menu; os usuários nessa categoria, inclusive, não estavam suscetíveis à brecha agora corrigida.

As outras duas vulnerabilidades estão relacionadas à proteção de senhas para documentos com conexões a sites. Na primeira, a CVE-2022-26307, a falha está no uso de criptografia fraca no sistema de armazenamento de credenciais, permitindo que ataques de força-bruta as descobrissem; já a segunda, CVE-2022-26306, permitiria o acesso a dados de configuração e acesso sem a devida validação.

Com os updates, o LibreOffice chega à versão estável 7.2.7, enquanto a instável já está em 7.3.5.2. O pacote de aplicativos reúne softwares de produtividade como editores de textos, planilhas e apresentações de slides, servindo como uma alternativa de código aberto ao Office, da Microsoft.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos