Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи

12 октября 2021 года

Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы, выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас).

  • CVE-2021-41832, CVE-2021-25635 - позволяет атакующему подписать ODF-документ не заслуживающим доверия самоподписанным сертификатом, но через изменение алгоритма цифровой подписи на некорректное или неподдерживаемое значение, добиться отображение данного документа как заслуживающего доверия (подпись с некорректным алгоритмом обрабатывалась как корректная).
  • CVE-2021-41830, CVE-2021-25633 - позволяет атакующему через совмещение в файлах documentsignatures.xml и macrosignatures.xml данных, подписанных разными сертификатами, создать ОDF-документ или макрос, который будет отображаться в интерфейсе как заслуживающий доверия, несмотря на наличие дополнительного содержимого, заверенного другим сертификатом.
  • CVE-2021-41831, CVE-2021-25634 - позволяет внести изменения в подписанный цифровой подписью ODF-документ, искажающие показываемое пользователю время формирования цифровой подписи без нарушения индикации доверия.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.