LibreOffice 和 Apache OpenOffice 办公套件中的三个漏洞已被披露,这些漏洞可能允许攻击者准备看似由可信来源签名的文档或更改已签名文档的日期。 这些问题在 Apache OpenOffice 4.1.11 和 LibreOffice 7.0.6/7.1.2 版本中以非安全 bug 为幌子得到了修复(LibreOffice 7.0.6 和 7.1.2 已于 XNUMX 月初发布,但该漏洞仅现已披露)。
- CVE-2021-41832、CVE-2021-25635 - 允许攻击者使用不可信的自签名证书对 ODF 文档进行签名,但通过将数字签名算法更改为不正确或不支持的值,实现将此文档显示为可信(算法不正确的签名被视为正确)。
- CVE-2021-41830、CVE-2021-25633 - 允许攻击者创建 ODF 文档或宏,该文档或宏将在界面中显示为可信,尽管存在由另一个证书认证的其他内容。
- CVE-2021-41831、CVE-2021-25634 - 允许对数字签名的 ODF 文档进行更改,从而扭曲向用户显示的数字签名生成时间,而不会违反信任指示。
来源: opennet.ru