November 24, 2024

LibreOffice ปล่อยตัวอัปเดตใหม่ เพื่อมาอุดช่องโหว่อันตรายถึง 3 รายการ

ทีมงานของ LibreOffice ได้ปล่อยตัวอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 3 รายการบนซอฟต์แวร์ โดยมีช่องโหว่หนึ่งรายการภายใต้รหัส CVE-2022-26305 ที่อาจส่งผลให้เปิดช่องให้รันโค้ดอันตรายบนระบบได้

ช่องโหว่ดังกล่าวมาจากการตรวจสอบใบรับรองอิเล็กทรอนิกส์ที่มีปัญหาเมื่อตรวจเช็คว่ามาโครได้รับการรับรองจากผู้สร้างที่ได้รับความน่าเชื่อถือหรือไม่ จนทำให้สามารถแอบเอาโค้ดแปลกปลอมแพเกจมัดรวมในมาโครได้

ส่วนช่องโหว่ต่อมาเป็นการใช้เวกเตอร์เริ่มต้น (IV) แบบตายตัวระหว่างการเข้ารหัส (เป็นช่องโหว่รหัส CVE-2022-26306 ที่อาจส่งผลให้การป้องกันอ่อนลงจนเปิดช่องให้ผู้ไม่หวังดีเข้าถึงข้อมูลการตั้งค่าต่างๆ ของตัวผู้ใช้

สุดท้ายแป็นช่องโหว่ CVE-2022-26307 ที่ตัวมาสเตอร์คีย์ถูกเข้ารหัสได้ไม่ดีพอ ทำให้รหัสผ่านที่จัดเก็บไว้อาจถูกยิงสุ่มรหัสหรือ Brute Force ได้กรณีที่ผู้โจมตีเข้าถึงข้อมูลการตั้งค่าของผู้ใช้ ทั้งสามช่องโหว่นี้ถูกรายขึ้นโดย OpenSource Security GmbH ในนามของสำนักงานด้านความปลอดภัยข้อมูลของเยอรมัน ซึ่งพบใน LibreOffice เวอร์ชั่น 7.2.7, 7.3.2, และ 7.3.3

อ่านเพิ่มเติมที่นี่ – THN