Ir atklātas trīs LibreOffice un Apache OpenOffice biroja komplektu ievainojamības, kas var ļaut uzbrucējiem sagatavot dokumentus, kas, šķiet, ir parakstīti no uzticama avota, vai mainīt jau parakstīta dokumenta datumu. Problēmas tika novērstas Apache OpenOffice 4.1.11 un LibreOffice 7.0.6/7.1.2 laidienos ar drošību nesaistītu kļūdu aizsegā (LibreOffice 7.0.6 un 7.1.2 tika publicētas maija sākumā, taču ievainojamība bija tikai tagad atklāts).
- CVE-2021-41832, CVE-2021-25635 - ļauj uzbrucējam parakstīt ODF dokumentu ar neuzticamu pašparakstītu sertifikātu, bet, mainot ciparparaksta algoritmu uz nepareizu vai neatbalstītu vērtību, panākt šī dokumenta attēlošanu kā uzticamu. (paraksts ar nepareizu algoritmu tika uzskatīts par pareizu).
- CVE-2021-41830, CVE-2021-25633 — ļauj uzbrucējam izveidot ODF dokumentu vai makro, kas saskarnē tiks parādīts kā uzticams, neskatoties uz to, ka ir pieejams papildu saturs, ko apliecina cits sertifikāts.
- CVE-2021-41831, CVE-2021-25634 — ļauj veikt izmaiņas digitāli parakstītā ODF dokumentā, kas izkropļo lietotājam parādīto ciparparaksta ģenerēšanas laiku, nepārkāpjot uzticamības indikāciju.
Avots: opennet.ru