【安全资讯】LibreOffice修补关键漏洞CVE-2024-5261，用户需紧急更新

概要：

LibreOffice的开发组织The Document Foundation发布了一则紧急安全公告，指出其LibreOfficeKit组件存在一个严重漏洞（CVE-2024-5261）。该漏洞可能允许攻击者拦截或操纵LibreOffice与远程服务器之间传输的数据，导致敏感信息暴露。

主要内容：

The Document Foundation近日发布了关于LibreOfficeKit组件的紧急安全公告，指出该组件存在一个严重漏洞（CVE-2024-5261）。该漏洞可能允许攻击者拦截或操纵LibreOffice与远程服务器之间传输的数据，进而导致敏感信息暴露。LibreOfficeKit是一个允许C/C++应用程序访问LibreOffice功能的工具，使第三方组件能够将LibreOffice用作文档转换、查看和交互的库。

在受影响的LibreOffice版本中，当以LibreOfficeKit模式使用时，TLS证书验证被禁用。具体来说，curl的选项CURLOPT_SSL_VERIFYPEER被设置为false，从而绕过了对通过LibreOfficeKit获取的远程资源的关键安全检查。这一安全漏洞意味着，当LibreOfficeKit访问远程资源（如托管在网络服务器上的图像）时，TLS证书的真实性未被验证。这一疏忽可能使恶意行为者能够拦截和操纵这些资源，导致潜在的数据泄露和其他安全事件。

该漏洞由OpenSource Security GmbH代表德国联邦信息安全办公室发现，并迅速报告给The Document Foundation。修复工作由LibreOffice项目的长期贡献者Thorsten Behrens完成。CVE-2024-5261漏洞被分配了CVSSv4评分中的最高等级10分，突显了用户尽快应用修复程序的紧迫性。The Document Foundation强烈建议用户升级到包含必要补丁的LibreOffice 24.2.4或更高版本。在修复后的版本中，curl在LibreOfficeKit模式下操作时，CURLOPT_SSL_VERIFYPEER被设置为true，确保TLS证书得到正确验证，符合标准的安全实践。