Баг LibreOffice и OpenOffice позволяет подделать подписанные документы

Разработчики LibreOffice и OpenOffice выпустили обновления, призванные устранить уязвимость в этих офисных пакетах. Согласно описанию, брешь позволяет злоумышленникам замаскировать файлы под документы, подписанные надёжным источником.

Несмотря на то что баг получил среднюю степень риска, его эксплуатация может привести к печальным последствиям, поскольку пользователи склонны доверять подписанным документам. С помощью бреши любой может выдать документ за доверенный, а потом выполнить вредоносный код на компьютере жертвы.

Уязвимости присвоили идентификатор CVE-2021-41832 а обнаружили её специалисты Рурского университета в Бохуме. Эта же дыра затрагивает LibreOffice, однако в этом случае ей выдали отдельный идентификатор — CVE-2021-25635.

Если вы используете один из этих офисных пакетов, эксперты рекомендуют обновить их как можно скорее, установив последнюю на данный момент версию — OpenOffice 4.1.11 и LibreOffice, 7.0.5 (7.1.1). При этом учитывайте, что этот софт не располагает функцией автоматического обновления, поэтому вам следует проверить доступность апдейта вручную. Например, обновления можно скачать из официальных источников — для LibreOffice и для OpenOffice. 

Если же вы по каким-то причинам не хотите обновляться, есть ещё один способ защититься от эксплуатации выявленного бага. Например, можно полностью отключить макросы. Так или иначе, стоит просто учитывать, что любой «подписанный» документ может оказаться не таким надёжным, как вы предполагаете.