Une nouvelle vulnérabilité se cache dans les versions non corrigées de LibreOffice et OpenOffice, permettant aux pirates de manipuler des documents pour les faire croire qu'ils ont été signés par une source de confiance. Même si la vulnérabilité (CVE-2021-41832 dans OpenOffice et CVE-2021-25635 dans LibreOffice) est répertorié comme modéré, cela peut entraîner de graves ramifications.
Les signatures numériques déployées dans les macros de documents servent à aider les utilisateurs à confirmer l'authenticité d'un document, et les falsifier pourrait mettre en danger toute une organisation.
CVE-2021-41832 dans OpenOffice; CVE-2021-25635 dans LibreOffice
La vulnérabilité OpenOffice a été découverte par le chercheur en sécurité Dave Fisher, qui l'a décrit comme "Apache OpenOffice: Manipulation de contenu avec attaque de validation de certificat ». « Il est possible pour un attaquant de manipuler des documents pour qu'ils semblent être signés par une source de confiance. Toutes les versions d'Apache OpenOffice jusqu'à 4.1.10 sont affectés. Il est conseillé aux utilisateurs de mettre à jour vers la version 4.1.11 », Fisher a écrit.
La vulnérabilité de LibreOffice est identique. « Une vulnérabilité de validation de certificat incorrecte dans LibreOffice a permis à un attaquant de signer lui-même un document ODF, avec une signature non approuvée par la cible, puis modifiez-le pour changer l'algorithme de signature en un invalide (ou inconnu de LibreOffice) algorithme et LibreOffice présenterait à tort une telle signature avec un algorithme inconnu comme une signature valide émise par une personne de confiance,» selon LibreOffice consultatif.
Comment se protéger contre CVE-2021-41832, CVE-2021-25635 exploits
Pour ce qui est de corriger le problème, il est crucial de noter que ni LibreOffice ni OpenOffice n'offrent de fonctionnalité de mise à jour automatique. Vous devez vous assurer que vous exécutez les dernières versions pour vous assurer que vous êtes protégé: Version OpenOffice 4.1.10 et ensuite, et version LibreOffice 7.0.5 ou 7.1.1 et ensuite. Vous pouvez télécharger les dernières versions à partir des sources officielles pour chaque application.
En Avril 2021, les chercheurs en sécurité ont signalé plusieurs vulnérabilités en un clic dans plusieurs applications logicielles populaires, y compris LibreOffice et OpenOffice, permettre aux acteurs de la menace d'effectuer des attaques d'exécution de code arbitraires.