Sono state scoperte tre vulnerabilità nelle suite per ufficio LibreOffice e Apache OpenOffice che potrebbero consentire agli aggressori di preparare documenti che sembrano firmati da una fonte affidabile o di modificare la data di un documento già firmato. I problemi sono stati risolti nelle versioni di Apache OpenOffice 4.1.11 e LibreOffice 7.0.6/7.1.2 con il pretesto di bug non legati alla sicurezza (LibreOffice 7.0.6 e 7.1.2 sono stati pubblicati all'inizio di maggio, ma la vulnerabilità era solo ora divulgato).
- CVE-2021-41832, CVE-2021-25635 - consente a un utente malintenzionato di firmare un documento ODF con un certificato autofirmato inaffidabile, ma modificando l'algoritmo di firma digitale in un valore errato o non supportato, ottiene la visualizzazione di questo documento come affidabile (una firma con un algoritmo errato è stata trattata come corretta).
- CVE-2021-41830, CVE-2021-25633 - consente a un utente malintenzionato di creare un documento o una macro ODF che verrà visualizzato nell'interfaccia come affidabile, nonostante la presenza di contenuto aggiuntivo certificato da un altro certificato.
- CVE-2021-41831, CVE-2021-25634 - consente di apportare modifiche ad un documento ODF firmato digitalmente che distorce l'orario di generazione della firma digitale mostrato all'utente senza violare l'indicazione di attendibilità.
Fonte: opennet.ru