Es wurden Informationen über drei Schwachstellen in den Büroanwendungen LibreOffice und Apache OpenOffice veröffentlicht, die es Angreifern ermöglichen, Dokumente zu erstellen, die wie von einer vertrauenswürdigen Quelle signiert aussehen, oder das Datum eines bereits signierten Dokuments zu ändern. Die Probleme wurden in den Versionen Apache OpenOffice 4.1.11 und LibreOffice 7.0.6/7.1.2 behoben, unter dem Vorwand, dass es sich um nicht sicherheitsrelevante Fehler handelt (die Versionen LibreOffice 7.0.6 und 7.1.2 wurden Anfang Mai veröffentlicht, aber die Informationen über die Schwachstelle wurden erst jetzt offengelegt).
- CVE-2021-41832, CVE-2021-25635 — ermöglicht es einem Angreifer, ein ODF-Dokument mit einem vertrauensunwürdigen, selbstsignierten Zertifikat zu signieren, aber indem der Algorithmus der digitalen Signatur auf einen falschen oder nicht unterstützten Wert geändert wird, wird angezeigt, dass dieses Dokument vertrauenswürdig ist (die Signatur mit einem falschen Algorithmus wurde als korrekt behandelt).
- CVE-2021-41830, CVE-2021-25633 – ermöglicht es Angreifern, durch die Kombination der Dateien documentsignatures.xml und macrosignatures.xml mit Daten, die von verschiedenen Zertifikaten signiert wurden, ein ODF-Dokument oder ein Makro zu erstellen, das im Interface als vertrauenswürdig angezeigt wird, obwohl zusätzliches, von einem anderen Zertifikat beglaubigtes Material vorhanden ist.
- CVE-2021-41831, CVE-2021-25634 – ermöglicht die Modifikation eines mit einer digitalen Signatur versehenen ODF-Dokuments, wodurch die angezeigte Zeit der Erstellung der digitalen Signatur verfälscht wird, ohne die Vertrauenswürdigkeit zu beeinträchtigen.
Quelle: opennet.ru
