LibreOffice-ի և Apache OpenOffice-ի գրասենյակային փաթեթներում հայտնաբերվել են երեք խոցելիություններ, որոնք կարող են թույլ տալ հարձակվողներին պատրաստել փաստաթղթեր, որոնք ստորագրված են վստահելի աղբյուրի կողմից կամ փոխել արդեն ստորագրված փաստաթղթի ամսաթիվը: Խնդիրները շտկվել են Apache OpenOffice 4.1.11 և LibreOffice 7.0.6/7.1.2 թողարկումներում՝ ոչ անվտանգության սխալների անվան տակ (LibreOffice 7.0.6 և 7.1.2 հրապարակվել են մայիսի սկզբին, սակայն խոցելիությունը եղել է միայն։ այժմ բացահայտված):
- CVE-2021-41832, CVE-2021-25635 - թույլ է տալիս հարձակվողին ստորագրել ODF փաստաթուղթը անվստահելի ինքնստորագրված վկայականով, սակայն թվային ստորագրության ալգորիթմը փոխելով սխալ կամ չաջակցվող արժեքի, հասնել այս փաստաթղթի ցուցադրմանը որպես վստահելի: (սխալ ալգորիթմով ստորագրությունը համարվել է ճիշտ):
- CVE-2021-41830, CVE-2021-25633 - թույլ է տալիս հարձակվողին ստեղծել ODF փաստաթուղթ կամ մակրո, որը կցուցադրվի ինտերֆեյսում որպես վստահելի, չնայած այլ վկայականով վավերացված լրացուցիչ բովանդակության առկայությանը:
- CVE-2021-41831, CVE-2021-25634 - թույլ է տալիս փոփոխություններ կատարել թվային ստորագրված ODF փաստաթղթում, որը խեղաթյուրում է օգտագործողին ցուցադրված թվային ստորագրության ստեղծման ժամանակը, առանց խախտելու վստահության ցուցումը:
Source: opennet.ru