Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lors de la procédure de mise à jour automatique, LibreOffice ne
vérifie pas la signature du logiciel téléchargé, avant de
l’exécuter.

Produits concernés : LibreOffice

Gravité : 2/4

Date création : 25/03/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsque LibreOffice vérifie la disponibilité d’une nouvelle
version, il envoie une requête vers la page (nécessite un
User-Agent LibreOffice) :
http://update.libreoffice.org/check.php
Cette page retourne alors un fichier XML indiquant la dernière
version du programme, et son url de téléchargement.

Cependant, cette procédure n’utilise pas HTTPS, et ne vérifie pas
si le logiciel est légitime.

Lors de la procédure de mise à jour automatique, LibreOffice ne
vérifie donc pas la signature du logiciel téléchargé, avant de
l’exécuter.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/LibreOffice-execution-de-code-via-Update-12563