Er zijn drie kwetsbaarheden in de kantoorsuites LibreOffice en Apache OpenOffice onthuld waardoor aanvallers documenten kunnen voorbereiden die door een betrouwbare bron lijken te zijn ondertekend, of de datum van een reeds ondertekend document kunnen wijzigen. De problemen zijn opgelost in de releases van Apache OpenOffice 4.1.11 en LibreOffice 7.0.6/7.1.2 onder het mom van niet-beveiligingsbugs (LibreOffice 7.0.6 en 7.1.2 werden begin mei gepubliceerd, maar de kwetsbaarheid werd pas nu onthuld).
- CVE-2021-41832, CVE-2021-25635 - stelt een aanvaller in staat een ODF-document te ondertekenen met een onbetrouwbaar, zelfondertekend certificaat, maar door het algoritme voor digitale handtekeningen te wijzigen in een onjuiste of niet-ondersteunde waarde, kan dit document als betrouwbaar worden weergegeven (een handtekening met een onjuist algoritme werd als correct behandeld).
- CVE-2021-41830, CVE-2021-25633 - stelt een aanvaller in staat een ODF-document of macro te maken die in de interface als betrouwbaar wordt weergegeven, ondanks de aanwezigheid van aanvullende inhoud die is gecertificeerd door een ander certificaat.
- CVE-2021-41831, CVE-2021-25634 - maakt het mogelijk wijzigingen aan te brengen in een digitaal ondertekend ODF-document dat de aan de gebruiker getoonde tijd voor het genereren van digitale handtekeningen vervormt zonder de vertrouwensindicatie te schenden.
Bron: opennet.ru