Tre sårbarheter i kontorssviterna LibreOffice och Apache OpenOffice har avslöjats som kan göra det möjligt för angripare att förbereda dokument som verkar vara signerade av en pålitlig källa eller ändra datumet för ett redan signerat dokument. Problemen åtgärdades i utgåvorna av Apache OpenOffice 4.1.11 och LibreOffice 7.0.6/7.1.2 under sken av icke-säkerhetsbuggar (LibreOffice 7.0.6 och 7.1.2 publicerades i början av maj, men sårbarheten var endast nu avslöjat).
- CVE-2021-41832, CVE-2021-25635 - tillåter en angripare att signera ett ODF-dokument med ett opålitligt självsignerat certifikat, men genom att ändra den digitala signaturalgoritmen till ett felaktigt eller ostödd värde, uppnå visningen av detta dokument som pålitligt (en signatur med en felaktig algoritm behandlades som korrekt).
- CVE-2021-41830, CVE-2021-25633 - tillåter en angripare att skapa ett ODF-dokument eller makro som kommer att visas i gränssnittet som pålitligt, trots närvaron av ytterligare innehåll som certifierats av ett annat certifikat.
- CVE-2021-41831, CVE-2021-25634 - tillåter ändringar att göras i ett digitalt signerat ODF-dokument som förvränger den digitala signaturgenereringstiden som visas för användaren utan att bryta mot förtroendeindikationen.
Källa: opennet.ru