Una nuova vulnerabilità è in agguato nelle versioni senza patch di LibreOffice e OpenOffice, consentendo agli hacker di manipolare i documenti per farli sembrare firmati da una fonte attendibile. Anche se la vulnerabilità (CVE-2021-41832 in OpenOffice e CVE-2021-25635 in LibreOffice) è indicato come moderato, può portare a gravi conseguenze.
Le firme digitali distribuite nelle macro dei documenti servono ad aiutare gli utenti a confermare l'autenticità di un documento, e la loro manomissione potrebbe mettere in pericolo un'intera organizzazione.
CVE-2021-41832 in OpenOffice; CVE-2021-25635 in LibreOffice
La vulnerabilità di OpenOffice è stata scoperta dal ricercatore di sicurezza Dave Fisher, che lo ha descritto come "Apache OpenOffice: Manipolazione del contenuto con attacco di convalida del certificato”. "È possibile che un utente malintenzionato manipoli i documenti in modo che sembrino firmati da una fonte attendibile. Tutte le versioni di Apache OpenOffice fino a 4.1.10 sono colpiti. Si consiglia agli utenti di aggiornare alla versione 4.1.11", Fisher ha scritto.
La vulnerabilità di LibreOffice è identica. "Una vulnerabilità di convalida del certificato impropria in LibreOffice ha consentito a un utente malintenzionato di firmare autonomamente un documento ODF, con una firma non attendibile dal target, quindi modificalo per cambiare l'algoritmo di firma in un non valido (o sconosciuto a LibreOffice) algoritmo e LibreOffice presenterebbero erroneamente tale firma con un algoritmo sconosciuto come una firma valida rilasciata da una persona di fiducia,” secondo LibreOffice consultivo.
Come proteggersi da CVE-2021-41832, Exploit CVE-2021-25635
In termini di patch del problema, è fondamentale notare che né LibreOffice né OpenOffice offrono una funzione di aggiornamento automatico. Dovresti assicurarti di eseguire le ultime versioni per assicurarti di essere protetto: Versione OpenOffice 4.1.10 e più tardi, e versione di LibreOffice 7.0.5 o 7.1.1 e più tardi. Puoi scaricare le ultime versioni dalle fonti ufficiali per ogni applicazione.
Nel mese di aprile 2021, i ricercatori di sicurezza hanno segnalato più vulnerabilità con un clic in diverse app software popolari, inclusi LibreOffice e OpenOffice, consentendo agli attori delle minacce di eseguire attacchi di esecuzione di codice arbitrario.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: