Ga naar inhoud

Lek in LibreOffice en OpenOffice maakt manipulatie gesigneerd document mogelijk


Aanbevolen berichten

Verschillende kwetsbaarheden in LibreOffice en OpenOffice maken het mogelijk om gesigneerde documenten en macro's te manipuleren waardoor het lijkt alsof ze van een betrouwbare bron afkomstig zijn. Er zijn beveiligingsupdates uitgerold om gebruikers te beschermen. Het gaat in totaal om drie kwetsbaarheden in Apache OpenOffice (CVE-2021-41830, CVE-2021-41831 en CVE-2021-41832) en LibreOffice (daar aangeduid als CVE-2021-25633, CVE-2021-25634 en CVE-2021-25635).

LibreOffice en OpenOffice ondersteunen het signeren van documenten en macro's, zodat de ontvangende partij weet van wie die afkomstig zijn en dat ze niet zijn aangepast. Een aanvaller kan in het geval van CVE-2021-25635 zelf een document signeren met een digitale handtekening die het doelwit niet vertrouwt. Vervolgens kan het algoritme voor de digitale handtekening worden veranderd naar een ongeldig of onbekend algoritme en geven LibreOffice en OpenOffice ten onrechte aan dat de digitale handtekening geldig en van een vertrouwd persoon afkomstig is.

Door middel van CVE-2021-25633 kan een aanvaller data van meerdere certificaten combineren, waardoor LibreOffice en OpenOffice via een indicator aangeven dat het om een geldig gesigneerd document gaat. De inhoud van het document staat echter los van de weergegeven digitale handtekening. Via CVE-2021-25634 is het daarnaast mogelijk om de timestamp van gesigneerde documenten aan te passen.

Alle versies van Apache OpenOffice tot en met versie 4.1.10 zijn kwetsbaar. Gebruikers wordt aangeraden om te updaten naar versie 4.1.11. In het geval van LibreOffice krijgen gebruikers het advies om te updaten naar versie LibreOffice 7.0.6/7.1.2.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...