Drie kwesbaarhede in die LibreOffice- en Apache OpenOffice-kantoorpakkette is bekend gemaak wat aanvallers in staat kan stel om dokumente voor te berei wat blykbaar deur 'n betroubare bron onderteken is of die datum van 'n reeds ondertekende dokument te verander. Die probleme is opgelos in die vrystellings van Apache OpenOffice 4.1.11 en LibreOffice 7.0.6/7.1.2 onder die dekmantel van nie-sekuriteitsfoute (LibreOffice 7.0.6 en 7.1.2 is vroeg in Mei gepubliseer, maar die kwesbaarheid was slegs nou bekend gemaak).
- CVE-2021-41832, CVE-2021-25635 - laat 'n aanvaller toe om 'n ODF-dokument met 'n onbetroubare self-ondertekende sertifikaat te onderteken, maar deur die digitale handtekeningalgoritme na 'n verkeerde of nie-ondersteunde waarde te verander, bereik die vertoon van hierdie dokument as betroubaar ('n handtekening met 'n verkeerde algoritme is as korrek hanteer).
- CVE-2021-41830, CVE-2021-25633 - laat 'n aanvaller toe om 'n ODF-dokument of makro te skep wat in die koppelvlak as betroubaar vertoon sal word, ten spyte van die teenwoordigheid van bykomende inhoud wat deur 'n ander sertifikaat gesertifiseer is.
- CVE-2021-41831, CVE-2021-25634 - laat veranderinge toe aan 'n digitaal ondertekende ODF-dokument wat die digitale handtekeninggenereringstyd wat aan die gebruiker gewys word, verdraai sonder om die vertrouensaanduiding te skend.
Bron: opennet.ru