Ranljivosti v OpenOffice in LibreOffice pri validaciji podpisanih dokumentov
V odprtokodnih pisarniških paketih OpenOffice in LibreOffice so odkrili ranljivosti, ki omogočajo manipulacijo podpisanih dokumentov. Skrbniki obeh programskih paketov, ki sta bila nekoč eden, od tedaj pa sta se ločila (fork), so že izdali popravke. Ranljivosti so odkrili raziskovalci na univerzi v Bochumu v Porurju.
Ranljivosti omogočajo napad na s certifikatom podpisane dokumente. Ena izmed njih omogoča, da v podpisanem dokumentu spremenimo časovni žig, pa programska oprema tega ne bo zaznala in pravilno prikazala. Druge ranljivosti pa omogočajo celo spreminjanje vsebine podpisanega dokumenta, ne da bi bilo to očitno, ter podpisovanje z nezaupanja vrednim certifikatom, ne da bi program na to opozoril.
Težave (CVE-2021-41830, CVE-2021-41831, CVE-2021-41832) tičijo v validaciji, ki jo izvajata LibreOffice in OpenOffice. V praksi to pomeni, da so dokumenti po tovrstnih manipulacijah seveda neveljavni, na kar opozori delujoča programska oprema, medtem ko prizadete verzije LibreOfficea in OpenOfficea tega ne odkrijejo.
Verzije OpenOffice 4.1.11 in novejše ter LibreOffice 7.0.5 ali 7.1.1 in novejše so že zakrpane.
