Trois vulnérabilités dans les suites bureautiques LibreOffice et Apache OpenOffice ont été révélées. Elles pourraient permettre à des attaquants de préparer des documents semblant être signés par une source fiable ou de modifier la date d'un document déjà signé. Les problèmes ont été résolus dans les versions d'Apache OpenOffice 4.1.11 et LibreOffice 7.0.6/7.1.2 sous couvert de bogues non liés à la sécurité (LibreOffice 7.0.6 et 7.1.2 ont été publiés début mai, mais la vulnérabilité n'a été que maintenant divulgué).
- CVE-2021-41832, CVE-2021-25635 - permet à un attaquant de signer un document ODF avec un certificat auto-signé non fiable, mais en modifiant l'algorithme de signature numérique en une valeur incorrecte ou non prise en charge, il obtient l'affichage de ce document comme étant digne de confiance. (une signature avec un algorithme incorrect était considérée comme correcte).
- CVE-2021-41830, CVE-2021-25633 - permet à un attaquant de créer un document ou une macro ODF qui sera affiché dans l'interface comme digne de confiance, malgré la présence de contenu supplémentaire certifié par un autre certificat.
- CVE-2021-41831, CVE-2021-25634 - permet d'apporter des modifications à un document ODF signé numériquement qui déforment le temps de génération de signature numérique affiché à l'utilisateur sans violer l'indication de confiance.
Source: opennet.ru