Tre sårbarheder i LibreOffice og Apache OpenOffice kontorpakker er blevet afsløret, som kan gøre det muligt for angribere at forberede dokumenter, der ser ud til at være underskrevet af en pålidelig kilde, eller ændre datoen for et allerede underskrevet dokument. Problemerne blev rettet i udgivelserne af Apache OpenOffice 4.1.11 og LibreOffice 7.0.6/7.1.2 under dække af ikke-sikkerhedsfejl (LibreOffice 7.0.6 og 7.1.2 blev offentliggjort i begyndelsen af maj, men sårbarheden var kun nu afsløret).
- CVE-2021-41832, CVE-2021-25635 - giver en hacker mulighed for at underskrive et ODF-dokument med et upålideligt selvsigneret certifikat, men ved at ændre den digitale signaturalgoritme til en forkert eller ikke-understøttet værdi, opnå visning af dette dokument som troværdigt (en signatur med en forkert algoritme blev behandlet som korrekt).
- CVE-2021-41830, CVE-2021-25633 - giver en hacker mulighed for at oprette et ODF-dokument eller en makro, der vil blive vist i grænsefladen som troværdig, på trods af tilstedeværelsen af yderligere indhold, der er certificeret af et andet certifikat.
- CVE-2021-41831, CVE-2021-25634 - gør det muligt at foretage ændringer i et digitalt signeret ODF-dokument, der forvrænger den digitale signaturgenereringstid, der vises til brugeren uden at krænke tillidsindikationen.
Kilde: opennet.ru