总体结论
在Linux上,LibreOffice只要保持及时更新并采用安全的配置与使用习惯,整体是安全可用的。过去它也曾出现可被利用的漏洞(如CVE-2022-26305、CVE-2022-26307、CVE-2023-6185),但均已由官方修复并发布更新;历史上还修复过OpenDocument加密清单解析导致的堆溢出(如CVE-2012-2665)以及HWP文件过滤器导致的任意代码执行(RHSA-2015:1458)。这些案例说明风险主要来自旧版本与不安全配置,而非平台本身。
常见风险与影响
- 宏安全与签名校验绕过:早期版本存在宏签名校验缺陷(仅比对证书的序列号与颁发者字符串),可能被伪造证书欺骗,诱导执行任意宏代码(CVE-2022-26305)。
- 存储凭据弱加密:本地保存的网页连接密码使用主密钥加密,旧版本将熵从128位削弱到43位,一旦配置文件被获取,易被暴力破解(CVE-2022-26307)。
- 多媒体嵌入执行风险:文档中嵌入视频的文件名未充分转义传递给GStreamer,在目标系统安装相应插件时可能被利用执行任意插件(CVE-2023-6185)。
- 文档解析类漏洞:历史上出现过ODF清单加密信息解析的堆溢出(CVE-2012-2665)与HWP文件过滤器问题(RHSA-2015:1458),均可能导致崩溃或代码执行。
安全使用建议
- 及时更新:优先通过发行版仓库或官方渠道升级到包含修复的最新版本;企业环境建议启用自动安全更新或定期审计。
- 严控宏:默认将宏安全级别设为高/非常高;仅对可信来源文档启用宏;必要时完全禁用宏。
- 谨慎处理嵌入媒体:避免打开来源不明、包含嵌入式视频的文档,或在隔离环境中预览。
- 保护本地配置:限制对LibreOffice配置目录的访问权限;若怀疑泄露,立即更改保存的网站密码并重新生成主密钥。
- 纵深防御:启用系统防火墙与恶意软件检测;对敏感文档启用密码保护/加密并妥善保管口令。