Розкрито відомості про три вразливості в офісних пакетах LibreOffice і Apache OpenOffice, що дозволяють атакуючим підготувати документи, що виглядають як підписані джерелом, що заслуговує на довіру, або змінити дату вже підписаного документа. Проблеми були усунуті у випусках Apache OpenOffice 4.1.11 та LibreOffice 7.0.6/7.1.2 під виглядом не пов'язаних з безпекою помилок (випуски LibreOffice 7.0.6 та 7.1.2 опубліковані на початку травня, але відомості про вразливість розкрито тільки зараз).
- CVE-2021-41832, CVE-2021-25635 — дозволяє атакуючому підписати ODF-документ самопідписаним сертифікатом, що не заслуговує на довіру, але через зміну алгоритму цифрового підпису на некоректне або непідтримуване значення, домогтися відображення даного документа як заслуговує на довіру. коректна).
- CVE-2021-41830, CVE-2021-25633 - дозволяє атакуючому через суміщення у файлах documentsignatures.xml і macrosignatures.xml даних, підписаних різними сертифікатами, створити ОDF-документ або макрос, який буде відображатися в інтерфейсі як заслуговує на довіру додаткового вмісту, засвідченого іншим сертифікатом.
- CVE-2021-41831, CVE-2021-25634 — дозволяє внести зміни в підписаний цифровим підписом ODF-документ, що спотворюють час формування цифрового підпису, що показується користувачеві без порушення індикації довіри.
Джерело: opennet.ru