LibreOffice- ja Apache OpenOffice -toimistosovelluksissa on paljastettu kolme haavoittuvuutta, joiden avulla hyökkääjät voivat valmistella asiakirjoja, jotka näyttävät olevan luotettavan lähteen allekirjoittamia, tai muuttaa jo allekirjoitetun asiakirjan päivämäärää. Ongelmat korjattiin Apache OpenOffice 4.1.11- ja LibreOffice 7.0.6/7.1.2 -julkaisuissa ei-tietoturvavirheiden varjolla (LibreOffice 7.0.6 ja 7.1.2 julkaistiin toukokuun alussa, mutta haavoittuvuus oli vain nyt paljastettu).
- CVE-2021-41832, CVE-2021-25635 - sallii hyökkääjän allekirjoittaa ODF-asiakirjan epäluotettavalla itseallekirjoitetulla varmenteella, mutta muuttamalla digitaalisen allekirjoituksen algoritmin vääräksi tai ei-tuetuksi arvoksi saavuttaa tämän asiakirjan näyttämisen luotettavana (allekirjoitus, jossa oli väärä algoritmi, käsiteltiin oikeana).
- CVE-2021-41830, CVE-2021-25633 - sallii hyökkääjän luoda ODF-asiakirjan tai makron, joka näytetään käyttöliittymässä luotettavana huolimatta toisella varmenteella varmentavasta lisäsisällöstä.
- CVE-2021-41831, CVE-2021-25634 - mahdollistaa sellaisten muutosten tekemisen digitaalisesti allekirjoitettuun ODF-dokumenttiin, jotka vääristävät käyttäjälle näytettävää digitaalisen allekirjoituksen luomisaikaa rikkomatta luottamusilmaisua.
Lähde: opennet.ru