Se han revelado tres vulnerabilidades en las suites ofimáticas LibreOffice y Apache OpenOffice que podrían permitir a atacantes preparar documentos que parecen estar firmados por una fuente confiable o cambiar la fecha de un documento ya firmado. Los problemas se solucionaron en las versiones de Apache OpenOffice 4.1.11 y LibreOffice 7.0.6/7.1.2 bajo la apariencia de errores no relacionados con la seguridad (LibreOffice 7.0.6 y 7.1.2 se publicaron a principios de mayo, pero la vulnerabilidad solo fue ahora revelado).
- CVE-2021-41832, CVE-2021-25635: permite a un atacante firmar un documento ODF con un certificado autofirmado no confiable, pero al cambiar el algoritmo de firma digital a un valor incorrecto o no compatible, logra que este documento se muestre como confiable (una firma con un algoritmo incorrecto se consideraba correcta).
- CVE-2021-41830, CVE-2021-25633: permite a un atacante crear un documento ODF o una macro que se mostrará en la interfaz como confiable, a pesar de la presencia de contenido adicional certificado por otro certificado.
- CVE-2021-41831, CVE-2021-25634: permite realizar cambios en un documento ODF firmado digitalmente que distorsiona el tiempo de generación de la firma digital que se muestra al usuario sin violar la indicación de confianza.
Fuente: opennet.ru