Foram divulgadas três vulnerabilidades nos pacotes de escritório LibreOffice e Apache OpenOffice que podem permitir que invasores preparem documentos que parecem estar assinados por uma fonte confiável ou alterem a data de um documento já assinado. Os problemas foram corrigidos nas versões do Apache OpenOffice 4.1.11 e LibreOffice 7.0.6/7.1.2 sob o pretexto de bugs não relacionados à segurança (o LibreOffice 7.0.6 e 7.1.2 foram publicados no início de maio, mas a vulnerabilidade foi apenas agora divulgado).
- CVE-2021-41832, CVE-2021-25635 - permite que um invasor assine um documento ODF com um certificado autoassinado não confiável, mas ao alterar o algoritmo de assinatura digital para um valor incorreto ou sem suporte, consiga a exibição deste documento como confiável (uma assinatura com algoritmo incorreto foi tratada como correta).
- CVE-2021-41830, CVE-2021-25633 – permite que um invasor crie um documento ou macro ODF que será exibido na interface como confiável, apesar da presença de conteúdo adicional certificado por outro certificado.
- CVE-2021-41831, CVE-2021-25634 – permite que alterações sejam feitas em um documento ODF assinado digitalmente que distorce o tempo de geração da assinatura digital mostrado ao usuário sem violar a indicação de confiança.
Fonte: opennet.ru