Tre sårbarheter i LibreOffice- og Apache OpenOffice-kontorpakkene har blitt avslørt som kan tillate angripere å forberede dokumenter som ser ut til å være signert av en pålitelig kilde eller endre datoen for et allerede signert dokument. Problemene ble løst i utgivelsene av Apache OpenOffice 4.1.11 og LibreOffice 7.0.6/7.1.2 under dekke av ikke-sikkerhetsfeil (LibreOffice 7.0.6 og 7.1.2 ble publisert i begynnelsen av mai, men sårbarheten var bare nå avslørt).
- CVE-2021-41832, CVE-2021-25635 - lar en angriper signere et ODF-dokument med et upålitelig selvsignert sertifikat, men ved å endre den digitale signaturalgoritmen til en feil eller ikke-støttet verdi, oppnå visning av dette dokumentet som troverdig (en signatur med feil algoritme ble behandlet som riktig).
- CVE-2021-41830, CVE-2021-25633 - lar en angriper lage et ODF-dokument eller en makro som vil vises i grensesnittet som pålitelig, til tross for tilstedeværelsen av tilleggsinnhold sertifisert av et annet sertifikat.
- CVE-2021-41831, CVE-2021-25634 - gjør det mulig å gjøre endringer i et digitalt signert ODF-dokument som forvrenger den digitale signaturgenereringstiden som vises til brukeren uten å bryte tillitsindikasjonen.
Kilde: opennet.ru