Aktualizace | LibreOffice | OpenOffice

Chyby v LibreOffice a OpenOffice umožňovaly hackerům falšovat podepsané dokumenty

Vývojářské týmy kancelářských balíků LibreOffice a OpenOffice vydaly aktualizace, které řeší zranitelnost umožňující útočníkovi zmanipulovat dokumenty tak, aby vypadaly jako podepsané důvěryhodným zdrojem. Ačkoli je závažnost chyby klasifikována jako střední, její důsledky mohou být zásadní.

Digitální podpisy používané v makrech mají uživateli pomoci ověřit, že dokument nebyl pozměněn a že mu tedy lze důvěřovat. Možnost podepsat dokumenty s makry a vytvořit tak dojem, že jsou důvěryhodné, je přitom vynikající způsob, jak oklamat uživatele a přimět ho ke spuštění škodlivého kódu.

Chyba v kancelářských balících

Na objevu chyby, která je pro kancelářský balík OpenOffice evidována jako CVE-2021-41832, se podílela čtveřice bezpečnostních expertů (Simon Rohlmann, Vladislav Mladenov, Christian Mainka a Jorg Schwenk) z Ruhrské univerzity v Bochumi. Stejná chyba má dopad na kancelářský balík LibreOffice, což je odnož OpenOffice vzniklá z hlavního projektu před více než deseti lety. Pro tento projekt je evidována jako CVE-2021-25635.

„Útočník může zmanipulovat dokumenty tak, aby vypadaly jako podepsané důvěryhodným zdrojem. Postiženy jsou všechny verze kancelářského balíku Apache OpenOffice až do verze 4.1.10,“ uvádí se v průvodním dokumentu k této chybě.

Zranitelnosti jsou způsobeny nesprávným ověřením podpisu. V podstatě jsou dva způsoby, jak dostat zmanipulovaný dokument se škodlivým kódem k uživateli: přimět ho, aby navštívil speciálně vytvořenou webovou stránku a stáhl si škodlivý soubor nebo aby otevřel přílohu v e-mailové zprávě.

Neváhejte s aktualizací

Pokud používáte některý z kancelářských balíků s otevřeným zdrojovým kódem, doporučujeme neprodleně provést aktualizaci na nejnovější dostupnou verzi. V případě OpenOffice je to verze 4.1.11 a novější a v případě LibreOffice verze 7.2.1 a novější. Protože ani jedna z aplikací nenabízí automatickou aktualizaci, je nutné ji provést ručně stažením nejnovější verze z příslušných stránek.

Pokud aktualizace na nejnovější verzi není z nějakého důvodu možná, můžete úplně vypnout funkci maker nebo se vyhýbat důvěryhodným dokumentům obsahujícím makra. Alespoň částečně dobrou zprávou je informace, že aktuálně není tento bezpečnostní nedostatek aktivně zneužíván k útokům.

Diskuze (10) Další článek: Vyšší výkon, delší výdrž i lepší výbava. AMD promluvilo o procesorech pro rok 2022

Témata článku: Bezpečnost, Aktualizace, LibreOffice, OpenOffice, Verze, Dokument, Kancelářský balík, Bochum, Makro, Chyba, Hacker, Podepsaný dokument



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě