Ujawniono trzy luki w pakietach biurowych LibreOffice i Apache OpenOffice, które mogą umożliwić atakującym przygotowanie dokumentów wyglądających na podpisane przez wiarygodne źródło lub zmianę daty już podpisanego dokumentu. Problemy zostały naprawione w wersjach Apache OpenOffice 4.1.11 i LibreOffice 7.0.6/7.1.2 pod przykrywką błędów niezwiązanych z bezpieczeństwem (LibreOffice 7.0.6 i 7.1.2 zostały opublikowane na początku maja, ale luka została teraz ujawnione).
- CVE-2021-41832, CVE-2021-25635 - umożliwia atakującemu podpisanie dokumentu ODF niezaufanym certyfikatem z podpisem własnym, ale zmieniając algorytm podpisu cyfrowego na niepoprawną lub nieobsługiwaną wartość, można wyświetlić ten dokument jako godny zaufania (podpis z błędnym algorytmem był traktowany jako poprawny).
- CVE-2021-41830, CVE-2021-25633 - umożliwia atakującemu utworzenie dokumentu lub makra ODF, które będzie wyświetlane w interfejsie jako godne zaufania, pomimo obecności dodatkowej treści poświadczonej innym certyfikatem.
- CVE-2021-41831, CVE-2021-25634 - umożliwia wprowadzenie zmian w podpisanym cyfrowo dokumencie ODF, które zniekształcają czas generowania podpisu cyfrowego pokazywany użytkownikowi bez naruszania wskazania zaufania.
Źródło: opennet.ru