LibreOffice の3つの脆弱性が FIX:任意のコード実行 CVE-2022-26305 などが修正

LibreOffice fixed 3 flaws, including a code execution issue

2022/07/28 SecurityAffairs — LibreOffice は、The Document Foundation (TDF) が開発する、オープンソースのオフィス・ソフトである。この LibreOffice において、任意のコード実行などの、3つのセキュリティ脆弱性が修正された。1つ目の脆弱性 CVE-2022-26305 は、不適切な証明書の検証による、信頼できないマクロ実行として分類されるものだ。この脆弱性は、悪意のマクロ実行を生じる可能性がある。


LibreOffice のデフォルトでは、対象となるマクロが、信頼できるファイルに保存されている場合には実行される。あるいは、ユーザーの設定データベースに保存されているリストに含まれ、信頼できる証明書により署名されている場合にも、マクロは実行される。

LibreOffice のアドバイザリには、「LibreOffice には、不適切な証明書検証の脆弱性が存在していた。LibreOffice では、対象となるマクロが、信頼できる作成者により署名されているかどうかを判断するために、使用されている証明書と、信頼できる証明書の、シリアル番号/発行者文字列のみを照合していた。しかし、これは、マクロが実際に証明書で署名されたことを確認するには、不十分だった」と説明されている。

このアドバイザリには、「攻撃者は、信頼できる証明書と同じシリアル番号/発行者文字列を持つ、任意の証明書を作成し、信頼できる作成者のものとして、LibreOfficeに認識させる。それにより、不正な信頼を取得したマクロに含まれる任意のコードを、ユーザーに実行させる可能性が生じる」とも述べられている。

この脆弱性は、マクロのセキュリティ・レベルが非常に高く設定されているケースや、ユーザーが信頼できる証明書を持っていないケースでは、悪用されることはない。

2つ目は、初期化ベクターの脆弱性 CVE-2022-26306 であり、マスター・パスワードがなくても、Web 接続のパスワード復元が可能になってしまう。

アドバイザリでは、「LibreOffice は、ユーザーの設定データベースに対する、Web 接続用パスワードの保存をサポートしている。保存されたパスワードは、ユーザーにより提供された、単一のマスターキーで暗号化される。LibreOffice には、暗号化に必要な初期化ベクターが、常に同じであるという脆弱性が存在した。それにより、攻撃者がユーザーの設定データにアクセスできるケースでは、暗号化の安全性が低下する」と説明されている。

3番目は、ブルートフォース攻撃により攻撃者に推測される可能がある、脆弱なマスターキーの使用に関連する脆弱性 CVE-2022-26307 だ。

アドバイザリでは、「LibreOffice は、ユーザーの設定データベースに、Web 接続用のパスワードの保存をサポートしている。この保存されたパスワードは、ユーザーが提供する1つのマスターキーで暗号化される。LibreOffice には、マスターキーのエンコードに不備があった。エントロピーが 128 Bit から 43 Bit に弱められ、攻撃者がユーザーの設定ファイルにアクセスした場合に、保存されたパスワードがブルートフォース攻撃にさらされる脆弱性が存在した」と述べられている。

これらの脆弱性は、ドイツ連邦情報セキュリティ局の委託を受けた OpenSource Security GmbH により発見され、バージョン 7.2.7/7.3.2/7.3.3 で修正されている。

ドイツ政府が主導する、LibreOffice の脆弱性調査が行われたとのことです。それだけの、政府関連組織での利用があということで、この種の調査の実施が必要だっのかもしれません。また、文中にもあるように、マクロの実行について、よく考えられていると思われる LibreOffice に対して、さらに詳細な調査が行われたようです。その背景には、Microsoft Office のマクロ問題があると推測されますが、それだけの大問題なのだと、あらためて認識させてくれます。

%d bloggers like this: