LibreOffice釋出更新7.2版，修補3項漏洞

LibreOffice本周釋出最新版7.2及7.3版，以修補3項漏洞。

三項漏洞為CVE-2022-26305、CVE-2022-26306、CVE-2022-26307，皆為德國聯邦資訊安全辦公室下的OpenSource Security公司揭露。

首先，LibreOffice支援執行巨集，但理論上預設只執行可信賴的檔案，或是獲得可信賴憑證簽發的巨集。LibreOffice是比對儲存在用戶組態資料庫中的可信賴簽章，以及下載檔案的簽章來判斷巨集是否值得信賴。CVE-2022-26305漏洞則是出在只比對序列碼及簽發者字串，導致簽章驗證不當，可能讓使用者透過巨集執行任意程式碼。

另二項則和密碼儲存安全性有關。LibreOffice可允許在用戶組態資料庫中，以加密儲存Web連線的密碼。加密是以用戶提供的單一主金鑰進行。而CVE-2022-26306發生在加密過程需要初始向量（initiation vector）的元件未做改變，讓能存取到用戶設定檔的攻擊者可取得密碼。

CVE-2022-26307則是發生在主金鑰加密演算法，使加密的熵（entropy）由128 bit降至43 bit，讓存取到用戶組態檔的攻擊者得以暴力破解儲存的密碼。

LibreOffice以7.2.7及7.3.2修補CVE-2022-26305，並以7.2.7及7.3.3解決CVE- CVE-2022-26306和2022-26307漏洞。

最新更新版為7.3.5.2，但想要穩定一點的用戶可下載 7.2.7版。