LibreOffice ve Apache OpenOffice ofis paketlerinde, saldırganların güvenilir bir kaynak tarafından imzalanmış gibi görünen belgeler hazırlamasına veya zaten imzalanmış bir belgenin tarihini değiştirmesine olanak tanıyan üç güvenlik açığı açıklandı. Sorunlar, Apache OpenOffice 4.1.11 ve LibreOffice 7.0.6/7.1.2 sürümlerinde, güvenlikle ilgili olmayan hatalar kisvesi altında düzeltildi (LibreOffice 7.0.6 ve 7.1.2, Mayıs başında yayınlandı, ancak güvenlik açığı yalnızca şimdi açıklandı).
- CVE-2021-41832, CVE-2021-25635 - bir saldırganın, güvenilmez bir kendinden imzalı sertifikaya sahip bir ODF belgesini imzalamasına olanak tanır, ancak dijital imza algoritmasını yanlış veya desteklenmeyen bir değere değiştirerek bu belgenin güvenilir olarak görüntülenmesini sağlar (Yanlış algoritmaya sahip bir imza doğru olarak değerlendirildi).
- CVE-2021-41830, CVE-2021-25633 - saldırganın, başka bir sertifika tarafından onaylanmış ek içeriğin varlığına rağmen arayüzde güvenilir olarak görüntülenecek bir ODF belgesi veya makro oluşturmasına olanak tanır.
- CVE-2021-41831, CVE-2021-25634 - dijital olarak imzalanmış bir ODF belgesinde, güven göstergesini ihlal etmeden kullanıcıya gösterilen dijital imza oluşturma süresini bozan değişiklikler yapılmasına olanak tanır.
Kaynak: opennet.ru