LibreOffice, la nota suite per la produttività open source concorrente diretta dei prodotti parte dell’abbonamento Microsoft 365, ha recentemente ricevuto un aggiornamento che va a risolvere tre vulnerabilità di sicurezza relative all’esecuzione delle macro e alla protezione delle password per le connessioni Web.
LibreOffice: corrette tre vulnerabilità di sicurezza
Andando più in dettaglio, la prima vulnerabilità, siglata come CVE-2022-26305, poteva permettere l’esecuzione del codice macro sul dispositivo di destinazione anche se il certificato utilizzato per firmare la macro non corrispondeva alle voci nel database di configurazione dell’utente.
La seconda vulnerabilità, siglata come CVE-2022-26307, va a risolvere un problema con la scarsa codifica della chiave master che memorizza le password per le connessioni Web nel database di configurazione dell’utente.
La terza vulnerabilità, siglata come CVE-2022-26306, poteva permettere ai malintenzionati con accesso ai dati di configurazione dell’utente di recuperare le password per le connessioni Web senza dover per forza conoscere la password principale.
Le correzioni sono state apportate sia alla versione stabile del software (LibreOffice 7.2) che al ramo unstable (LibreOffice 7.3).
Da tenere presente che LibreOffice consente di impostare diversi livelli di sicurezza per le macro che vanno da basso a molto alto e che abilitano diversi set di criteri di esecuzione in base al grado di fiducia che l’utente si sente di concedere. Per fare un esempio pratico, se viene impostato il livello di sicurezza “Basso”, tutte le macro vengono eseguite pure se non sono firmate, mentre il livello di sicurezza “Medio” mostra una finestra di dialogo che chiede all’utente se intende approvare l’esecuzione delle macro oppure no.