OpenOffice和LibreOffice中发现的数字签名欺骗漏洞

LibreOffice和OpenOffice的维护者已经向他们的生产力软件发送了安全更新，以修复多个漏洞，这些漏洞可能会被恶意参与者利用来修改文档，使其看起来像是由可信来源进行了数字签名。

The list of the three flaws is as follows —

• CVE-2021-41830/CVE-2021-25633-具有双证书攻击的内容和宏操作
• CVE-2021-41831/CVE-2021-25634-带签名包装的时间戳操作
• CVE-2021-41832/CVE-2021-25635-带有证书验证攻击的内容操纵

成功利用这些漏洞可能会使攻击者操纵已签名ODF文档的时间戳，更糟糕的是，更改文档内容或使用不受信任的签名对文档进行自签名，然后对其进行调整，将签名算法更改为无效或未知的算法。

在后两种攻击场景中—；由于证书验证不当而导致的堵塞—；LibreOffice错误地显示了一个有效签名的指示器，表明该文档自签名以来未被篡改，并将一个具有未知算法的签名作为受信任方发布的合法签名呈现。

OpenOffice版本4.1.11和LibreOffice版本7.0.5、7.0.6、7.1.1以及7.1.2已经修复了这些缺陷。波鸿鲁尔大学（Ruhr University Bochum）的网络和数据安全（NDS）主席发现并报告了这三个问题。

这些发现是鲁尔大学波鸿分校研究人员发现的一系列缺陷中的最新发现，并遵循今年早些时候披露的类似攻击技术，可能使对手通过在认证内容上显示恶意内容来修改认证PDF文档的可见内容，而不会使其无效签名。

建议LibreOffice和OpenOffice的用户更新至最新版本，以降低与缺陷相关的风险。