LibreOffice և Apache OpenOffice գրասենյակային փաթեթներում հայտնաբերվել են երեք խոցելիություններ, որոնք թույլ են տալիս հարձակվողներին ստեղծել փաստաթղթեր, որոնք, կարծես, ստորագրված են վստահելի աղբյուրի կողմից, կամ փոխել արդեն ստորագրված փաստաթղթի ամսաթիվը: Խնդիրները շտկվել են Apache OpenOffice 4.1.11 և LibreOffice 7.0.6/7.1.2 թողարկումներում՝ անվտանգության հետ կապ չունեցող սխալների անվան տակ (LibreOffice 7.0.6 և 7.1.2-ը հրապարակվել են մայիսի սկզբին, սակայն խոցելիության մանրամասները միայն հիմա են բացահայտվում):
- CVE-2021-41832, CVE-2021-25635 - թույլ է տալիս հարձակվողին ստորագրել ODF փաստաթուղթը անվստահելի ինքնաստորագրված վկայականով, սակայն թվային ստորագրության ալգորիթմը փոխելով սխալ կամ չաջակցվող արժեքի, հասնել այս փաստաթղթի ցուցադրմանը որպես վստահելի (ստորագրությունը սխալ մշակման ալգորիթմով ճիշտ է):
- CVE-2021-41830, CVE-2021-25633 - թույլ է տալիս հարձակվողին ստեղծել ODF փաստաթուղթ կամ մակրո՝ համատեղելով documentsignatures.xml և macrosignatures.xml ֆայլերում տարբեր վկայագրերով ստորագրված տվյալները, որոնք ինտերֆեյսում կցուցադրվեն որպես վստահելի, չնայած այլ վկայագրով հավաստագրված լրացուցիչ բովանդակության առկայությանը։
- CVE-2021-41831, CVE-2021-25634 - թույլ է տալիս թվային ստորագրված ODF փաստաթղթի փոփոխությունները, որոնք խեղաթյուրում են օգտագործողին ցուցադրված թվային ստորագրության ստեղծման ժամանակը, առանց խախտելու վստահության ցուցումը:
Source: opennet.ru
