Разработчики LibreOffice и OpenOffice выпустили обновления безопасности для своих программных продуктов, устраняющие многочисленные уязвимости, которые могут быть использованы злоумышленниками для изменения документов с целью создания видимости того, что они подписаны цифровой подписью от доверенного источника.
- CVE-2021-41830 / CVE-2021-25633 – Манипуляция содержимым и макросами
- CVE-2021-41831 / CVE-2021-25634 – Манипуляция временными метками подписи
- CVE-2021-41832 / CVE-2021-25635 – Манипуляция содержимым с атакой на проверку сертификата
Успешная эксплуатация уязвимостей может позволить злоумышленнику изменить временную метку подписанных документов ODF, или, что ещё хуже, изменить содержимое документа или самостоятельно подписать его достоверной подписью.
В двух последних сценариях атаки, возникающих в результате неправильной проверки сертификатов, LibreOffice некорректно отображал индикатор действительной подписи, предполагая, что документ не изменялся с момента подписания.
Уязвимости были устранены в OpenOffice версии 4.1.11 и LibreOffice версий 7.0.5, 7.0.6, 7.1.1, а также 7.1.2.
Пользователям LibreOffice и OpenOffice рекомендуется обновить их до последней версии, чтобы снизить риск, связанный с уязвимостями.
Ravie Lakshmanan
Ещё по теме:
- Бесспорный лидер: iPhone 13 обогнал по автономности все смартфоны на Android
- Apple вернёт возможность отключения уведомлений с Apple TV и Apple Watch на iOS 15.1
- В iPhone 13 нашли новые проблемы. В этот раз с зарядкой и экраном
