Aktualizace | LibreOffice | OpenOffice

Chyby v LibreOffice a OpenOffice umožňovaly hackerům falšovat podepsané dokumenty

Vývojářské týmy kancelářských balíků LibreOffice a OpenOffice vydaly aktualizace, které řeší zranitelnost umožňující útočníkovi zmanipulovat dokumenty tak, aby vypadaly jako podepsané důvěryhodným zdrojem. Ačkoli je závažnost chyby klasifikována jako střední, její důsledky mohou být zásadní.

Digitální podpisy používané v makrech mají uživateli pomoci ověřit, že dokument nebyl pozměněn a že mu tedy lze důvěřovat. Možnost podepsat dokumenty s makry a vytvořit tak dojem, že jsou důvěryhodné, je přitom vynikající způsob, jak oklamat uživatele a přimět ho ke spuštění škodlivého kódu.

Chyba v kancelářských balících

Na objevu chyby, která je pro kancelářský balík OpenOffice evidována jako CVE-2021-41832, se podílela čtveřice bezpečnostních expertů (Simon Rohlmann, Vladislav Mladenov, Christian Mainka a Jorg Schwenk) z Ruhrské univerzity v Bochumi. Stejná chyba má dopad na kancelářský balík LibreOffice, což je odnož OpenOffice vzniklá z hlavního projektu před více než deseti lety. Pro tento projekt je evidována jako CVE-2021-25635.

„Útočník může zmanipulovat dokumenty tak, aby vypadaly jako podepsané důvěryhodným zdrojem. Postiženy jsou všechny verze kancelářského balíku Apache OpenOffice až do verze 4.1.10,“ uvádí se v průvodním dokumentu k této chybě.

Zranitelnosti jsou způsobeny nesprávným ověřením podpisu. V podstatě jsou dva způsoby, jak dostat zmanipulovaný dokument se škodlivým kódem k uživateli: přimět ho, aby navštívil speciálně vytvořenou webovou stránku a stáhl si škodlivý soubor nebo aby otevřel přílohu v e-mailové zprávě.

Neváhejte s aktualizací

Pokud používáte některý z kancelářských balíků s otevřeným zdrojovým kódem, doporučujeme neprodleně provést aktualizaci na nejnovější dostupnou verzi. V případě OpenOffice je to verze 4.1.11 a novější a v případě LibreOffice verze 7.2.1 a novější. Protože ani jedna z aplikací nenabízí automatickou aktualizaci, je nutné ji provést ručně stažením nejnovější verze z příslušných stránek.

Pokud aktualizace na nejnovější verzi není z nějakého důvodu možná, můžete úplně vypnout funkci maker nebo se vyhýbat důvěryhodným dokumentům obsahujícím makra. Alespoň částečně dobrou zprávou je informace, že aktuálně není tento bezpečnostní nedostatek aktivně zneužíván k útokům.

Diskuze (10) Další článek: Vyšší výkon, delší výdrž i lepší výbava. AMD promluvilo o procesorech pro rok 2022

Témata článku: , , , , , , , , , , ,