En ny sårbarhed lurer i upatchede versioner af LibreOffice og OpenOffice, gør det muligt for hackere at manipulere dokumenter for at få dem til at se ud som om de er blevet underskrevet af en betroet kilde. Selvom sårbarheden (CVE-2021-41832 i OpenOffice og CVE-2021-25635 i LibreOffice) er opført som moderat, det kan føre til alvorlige konsekvenser.
Digitale signaturer indsat i dokumentmakroer hjælper med at bekræfte ægtheden af et dokument, og manipulation med dem kan bringe en hel organisation i fare.
CVE-2021-41832 i OpenOffice; CVE-2021-25635 i LibreOffice
OpenOffice -sårbarheden blev opdaget af sikkerhedsforsker Dave Fisher, der beskrev det som "Apache OpenOffice: Indholdsmanipulation med certifikatvalideringsangreb ”. ”Det er muligt for en angriber at manipulere dokumenter for at se ud til at være underskrevet af en betroet kilde. Alle versioner af Apache OpenOffice op til 4.1.10 påvirkes. Brugere rådes til at opdatere til version 4.1.11, ”Fisher skrev.
LibreOffices sårbarhed er identisk. “En ukorrekt sårbarhed i certifikatvalidering i LibreOffice tillod en hacker at selv signere et ODF -dokument, med en underskrift, der ikke er betroet af målet, rediger den derefter for at ændre signaturalgoritmen til en ugyldig (eller ukendt for LibreOffice) algoritme og LibreOffice ville forkert præsentere en sådan signatur med en ukendt algoritme som en gyldig signatur udstedt af en betroet person,"Ifølge LibreOffice rådgivende.
Sådan beskytter du mod CVE-2021-41832, CVE-2021-25635 udnytter
Med hensyn til at lappe problemet, det er afgørende at bemærke, at hverken LibreOffice eller OpenOffice tilbyder en automatisk opdateringsfunktion. Du bør sikre dig, at du kører de nyeste versioner for at sikre, at du er beskyttet: OpenOffice version 4.1.10 og senere, og LibreOffice version 7.0.5 eller 7.1.1 og senere. Du kan downloade de nyeste versioner fra de officielle kilder for hver applikation.
I april 2021, sikkerhedsforskere rapporterede om flere et-klik-sårbarheder i flere populære software-apps, herunder LibreOffice og OpenOffice, tillader trusselaktører at udføre vilkårlige angreb på eksekvering af kode.