Es wurden drei Schwachstellen in den Office-Suiten LibreOffice und Apache OpenOffice bekannt, die es Angreifern ermöglichen könnten, Dokumente vorzubereiten, die scheinbar von einer vertrauenswürdigen Quelle signiert wurden, oder das Datum eines bereits signierten Dokuments zu ändern. Die Probleme wurden in den Versionen Apache OpenOffice 4.1.11 und LibreOffice 7.0.6/7.1.2 unter dem Deckmantel von nicht sicherheitsrelevanten Fehlern behoben (LibreOffice 7.0.6 und 7.1.2 wurden Anfang Mai veröffentlicht, die Schwachstelle wurde jedoch nur veröffentlicht). jetzt bekanntgegeben).
- CVE-2021-41832, CVE-2021-25635 – ermöglicht einem Angreifer, ein ODF-Dokument mit einem nicht vertrauenswürdigen selbstsignierten Zertifikat zu signieren, aber durch Ändern des digitalen Signaturalgorithmus auf einen falschen oder nicht unterstützten Wert zu erreichen, dass dieses Dokument als vertrauenswürdig angezeigt wird (Eine Signatur mit einem falschen Algorithmus wurde als korrekt behandelt).
- CVE-2021-41830, CVE-2021-25633 – ermöglicht es einem Angreifer, ein ODF-Dokument oder -Makro zu erstellen, das in der Benutzeroberfläche als vertrauenswürdig angezeigt wird, obwohl zusätzlicher Inhalt vorhanden ist, der durch ein anderes Zertifikat zertifiziert ist.
- CVE-2021-41831, CVE-2021-25634 – ermöglicht Änderungen an einem digital signierten ODF-Dokument, die die dem Benutzer angezeigte Erstellungszeit der digitalen Signatur verfälschen, ohne die Vertrauensanzeige zu verletzen.
Source: opennet.ru