Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

news_bot ^® написал(а)
12-Окт-2021 16:30

Цитировать

Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы, выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас).

CVE-2021-41832, CVE-2021-25635 - позволяет атакующему подписать ODF-документ не заслуживающим доверия самоподписанным сертификатом, но через изменение алгоритма цифровой подписи на некорректное или неподдерживаемое значение, добиться отображение данного документа как заслуживающего доверия (подпись с некорректным алгоритмом обрабатывалась как корректная).
CVE-2021-41830, CVE-2021-25633 - позволяет атакующему через совмещение в файлах documentsignatures.xml и macrosignatures.xml данных, подписанных разными сертификатами, создать ОDF-документ или макрос, который будет отображаться в интерфейсе как заслуживающий доверия, несмотря на наличие дополнительного содержимого, заверенного другим сертификатом.
CVE-2021-41831, CVE-2021-25634 - позволяет внести изменения в подписанный цифровой подписью ODF-документ, искажающие показываемое пользователю время формирования цифровой подписи без нарушения индикации доверия.

===========
Источник:
OpenNet.RU
===========

Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи

Похожие новости