มีการเปิดเผยช่องโหว่ 4.1.11 รายการในชุดสำนักงาน LibreOffice และ Apache OpenOffice ซึ่งอาจทำให้ผู้โจมตีสามารถเตรียมเอกสารที่ดูเหมือนว่าจะลงนามโดยแหล่งที่เชื่อถือได้ หรือเปลี่ยนวันที่ของเอกสารที่ลงนามแล้ว ปัญหาได้รับการแก้ไขแล้วในการเปิดตัว Apache OpenOffice 7.0.6 และ LibreOffice 7.1.2/7.0.6 ภายใต้หน้ากากของข้อบกพร่องที่ไม่เกี่ยวกับความปลอดภัย (LibreOffice 7.1.2 และ XNUMX ได้รับการเผยแพร่เมื่อต้นเดือนพฤษภาคม แต่ช่องโหว่เป็นเพียงเท่านั้น เปิดเผยแล้ว)
- CVE-2021-41832, CVE-2021-25635 - อนุญาตให้ผู้โจมตีลงนามในเอกสาร ODF ด้วยใบรับรองที่ลงนามด้วยตนเองที่ไม่น่าเชื่อถือ แต่ด้วยการเปลี่ยนอัลกอริธึมลายเซ็นดิจิทัลเป็นค่าที่ไม่ถูกต้องหรือไม่รองรับ ทำให้การแสดงเอกสารนี้น่าเชื่อถือได้ (ลายเซ็นที่มีอัลกอริทึมที่ไม่ถูกต้องจะถือว่าถูกต้อง)
- CVE-2021-41830, CVE-2021-25633 - ช่วยให้ผู้โจมตีสามารถสร้างเอกสารหรือมาโคร ODF ที่จะแสดงในส่วนต่อประสานว่าน่าเชื่อถือ แม้ว่าจะมีเนื้อหาเพิ่มเติมที่ได้รับการรับรองโดยใบรับรองอื่นก็ตาม
- CVE-2021-41831, CVE-2021-25634 - อนุญาตให้ทำการเปลี่ยนแปลงกับเอกสาร ODF ที่เซ็นชื่อแบบดิจิทัล ซึ่งจะบิดเบือนเวลาการสร้างลายเซ็นดิจิทัลที่แสดงต่อผู้ใช้โดยไม่ละเมิดข้อบ่งชี้ความน่าเชื่อถือ
ที่มา: opennet.ru