Раскрыты звесткі аб трох уразлівасцях у офісных пакетах LibreOffice і Apache OpenOffice, якія дазваляюць атакавалым падрыхтаваць дакументы, якія выглядаюць як падпісаныя годнай даверы крыніцай, або змяніць дату ўжо падпісанага дакумента. Праблемы былі ўхіленыя ў выпусках Apache OpenOffice 4.1.11 і LibreOffice 7.0.6/7.1.2 пад выглядам не злучаных з бяспекай памылак (выпускі LibreOffice 7.0.6 і 7.1.2 апублікаваныя ў пачатку траўня, але звесткі аб уразлівасці расчыненыя толькі цяпер).
- CVE-2021-41832, CVE-2021-25635 — дазваляе атакаваламу падпісаць ODF-дакумент не годным даверу самападпісаным сертыфікатам, але праз змену алгарытму лічбавага подпісу на некарэктнае ці непадтрымоўванае значэнне, дамагчыся адлюстраванне дадзенага дакумента як годнага даверу. карэктная).
- CVE-2021-41830, CVE-2021-25633 - дазваляе атакаваламу праз сумяшчэнне ў файлах documentsignatures.xml і macrosignatures.xml дадзеных, падпісаных рознымі сертыфікатамі, стварыць ОDF-дакумент ці макрас, які будзе адлюстроўвацца ў інтэрфейсе як годны давер дадатковага змесціва, заверанага іншым сертыфікатам.
- CVE-2021-41831, CVE-2021-25634 — дазваляе ўнесці змены ў падпісаны лічбавым подпісам ODF-дакумент, якія скажаюць паказаны карыстачу час фармавання лічбавага подпісу без парушэння індыкацыі даверу.
Крыніца: opennet.ru