LibreOffice 和 Apache OpenOffice 辦公室套件中的三個漏洞已被披露,這些漏洞可能允許攻擊者準備看似由可信任來源簽署的文件或更改已簽署文件的日期。 這些問題在 Apache OpenOffice 4.1.11 和 LibreOffice 7.0.6/7.1.2 版本中以非安全 bug 為幌子得到了修復(LibreOffice 7.0.6 和 7.1.2 已於 XNUMX 月初發布,但漏洞僅現已披露)。
- CVE-2021-41832、CVE-2021-25635 - 允許攻擊者使用不可信的自簽名憑證對ODF 文件進行簽名,但透過將數位簽章演算法變更為不正確或不支援的值,實作將此文件顯示為可信(演算法不正確的簽章被視為正確)。
- CVE-2021-41830、CVE-2021-25633 - 允許攻擊者建立 ODF 文件或宏,該文件或巨集將在介面中顯示為可信,儘管存在由另一個憑證認證的其他內容。
- CVE-2021-41831、CVE-2021-25634 - 允許對數位簽章的 ODF 文件進行更改,從而扭曲向使用者顯示的數位簽章產生時間,而不會違反信任指示。
來源: opennet.ru