Toute personne qui travaille avec LibreOffice ou OpenOffice au bureau ou à la maison doit mettre à jour les paquets Office pour des raisons de sécurité. Sinon, les attaquants pourraient tromper les victimes en manipulant des documents signés.

Selon une liste de diffusion Apache, des chercheurs en sécurité de l’université de la Ruhr à Bochum ont découvert deux failles de sécurité (CVE-2021-25635 LibreOffice, CVE-2021-41832 OpenOffice). Les attaquants pourraient utiliser ces deux vulnérabilités pour faire croire que les documents créés avec le pack Office ont été signés par une source de confiance. Selon les chercheurs en sécurité, la cause de ce problème de sécurité est une vérification insuffisante des certificats.

Non fiable

En raison de la signature censée être digne de confiance, les victimes peuvent être trompées et suivre les instructions du document, grâce auxquelles un code malveillant s’installe sur les systèmes. Les documents signés sont censés garantir qu’ils proviennent d’une source digne de confiance et n’ont pas été manipulés par des tiers après leur réalisation.

Même si les chercheurs ne classent le niveau de sévérité que comme « modéré« Les utilisateurs doivent mettre à jour leurs paquets Office à la dernière version. LibreOffice est disponible dans les versions de 7.0.5 et 7.1.1 et OpenOffice est disponible dans l’édition de 4.1.11 est protégé contre de telles attaques. Toutes les versions précédentes seraient menacées.

[UPDATE 12.10.2021 12:20 Uhr]

Numéro de version de LibreOffice corrigé.