Reveláronse tres vulnerabilidades dos paquetes ofimáticos de LibreOffice e Apache OpenOffice que poderían permitir aos atacantes preparar documentos que parecen estar asinados por unha fonte fiable ou cambiar a data dun documento xa asinado. Os problemas foron solucionados nas versións de Apache OpenOffice 4.1.11 e LibreOffice 7.0.6/7.1.2 baixo o pretexto de erros non relacionados coa seguridade (LibreOffice 7.0.6 e 7.1.2 publicáronse a principios de maio, pero a vulnerabilidade foi só agora divulgado).
- CVE-2021-41832, CVE-2021-25635: permite a un atacante asinar un documento ODF cun certificado autoasinado non fiable, pero cambiando o algoritmo de sinatura dixital a un valor incorrecto ou non admitido, consegue que este documento se mostre como fiable. (tratouse como correcta unha sinatura cun algoritmo incorrecto).
- CVE-2021-41830, CVE-2021-25633: permite que un atacante cree un documento ou macro ODF que se mostrará na interface como fiable, a pesar da presenza de contido adicional certificado por outro certificado.
- CVE-2021-41831, CVE-2021-25634: permite facer cambios nun documento ODF asinado dixitalmente que distorsiona o tempo de xeración de sinatura dixital que se mostra ao usuario sen violar a indicación de confianza.
Fonte: opennet.ru