AccueilActualités informatiqueLibreOffice avance la mise à jour en raison d'une faille critique

LibreOffice avance la mise à jour en raison d’une faille critique

La suite bureautique open source LibreOffice utilise la bibliothèque cryptographique NSS de Mozilla, qui met notamment en œuvre la sécurité de la couche de transport (TLS). Une faille de sécurité critique récemment découverte dans cette bibliothèque pourrait être utilisée par des pirates pour exécuter des codes malveillants en contrebande. Cela pourrait également se produire dans LibreOffice. Le projet a mis à jour les paquets d’installation afin de combler les failles de sécurité.

Les développeurs de LibreOffice avaient prévu de sortir les prochaines versions du logiciel en janvier. En raison du danger que représente la faille, ils ont avancé la mise à jour.

Sommaire

La vulnérabilité, baptisée « BigSig » par son découvreur Tavis Ormandy, s’est produite parce que la bibliothèque NSS ne vérifiait pas si le tampon de destination était assez grand lors de la copie de certains certificats. Les signatures DSA et RSA-PSS supérieures à 16384 bits écrasaient ainsi les zones de mémoire situées derrière avec des contenus contrôlés par l’attaquant. Ormandy décrit en outre comme « trivial » le détournement de pointeurs de fonction pour exécuter un code introduit de cette manière.

Les versions corrigées de LibreOffice 7.2.4 et 7.1.8 sont désormais disponibles au téléchargement. Le projet LibreOffice écrit dans un billet de blog qu’il recommande à tous les utilisateurs de mettre à jour le logiciel.

Mozilla a publié son propre avis de sécurité pour la faille NSS CVE-2021-43527. Selon cet avis, Firefox au moins n’est pas concerné, car il utilise la bibliothèque mozilla::pkix pour la vérification des certificats. En revanche, d’autres programmes comme Thunderbird, Evince et Evolution sont probablement vulnérables s’ils utilisent une bibliothèque NSS vulnérable. Les versions NSS 3.73 et NSS ESR 3.68.1 éliminent le bogue et donc la vulnérabilité. Une mise à jour des logiciels respectifs n’est toutefois pas obligatoire ; s’ils n’apportent pas leur propre version NSS, une mise à jour du paquet NSS à l’échelle du système suffit.

Voir aussi

  • Téléchargement rapide et sûr de LibreOffice par heise.de

Lire aussi

Plus d'articles