Lek in LibreOffice en OpenOffice maakt manipulatie gesigneerd document mogelijk

[Captain Kirk]

Verschillende kwetsbaarheden in LibreOffice en OpenOffice maken het mogelijk om gesigneerde documenten en macro's te manipuleren waardoor het lijkt alsof ze van een betrouwbare bron afkomstig zijn. Er zijn beveiligingsupdates uitgerold om gebruikers te beschermen. Het gaat in totaal om drie kwetsbaarheden in Apache OpenOffice (CVE-2021-41830, CVE-2021-41831 en CVE-2021-41832) en LibreOffice (daar aangeduid als CVE-2021-25633, CVE-2021-25634 en CVE-2021-25635).

LibreOffice en OpenOffice ondersteunen het signeren van documenten en macro's, zodat de ontvangende partij weet van wie die afkomstig zijn en dat ze niet zijn aangepast. Een aanvaller kan in het geval van CVE-2021-25635 zelf een document signeren met een digitale handtekening die het doelwit niet vertrouwt. Vervolgens kan het algoritme voor de digitale handtekening worden veranderd naar een ongeldig of onbekend algoritme en geven LibreOffice en OpenOffice ten onrechte aan dat de digitale handtekening geldig en van een vertrouwd persoon afkomstig is.

Door middel van CVE-2021-25633 kan een aanvaller data van meerdere certificaten combineren, waardoor LibreOffice en OpenOffice via een indicator aangeven dat het om een geldig gesigneerd document gaat. De inhoud van het document staat echter los van de weergegeven digitale handtekening. Via CVE-2021-25634 is het daarnaast mogelijk om de timestamp van gesigneerde documenten aan te passen.

Alle versies van Apache OpenOffice tot en met versie 4.1.10 zijn kwetsbaar. Gebruikers wordt aangeraden om te updaten naar versie 4.1.11. In het geval van LibreOffice krijgen gebruikers het advies om te updaten naar versie LibreOffice 7.0.6/7.1.2.

 

bron: https://www.security.nl