LibreOffice ve OpenOffice'te Uygunsuz Sertifika Doğrulama sorunu, imzalı belgelerin sahteciliğine izin veriyor

firataverbek

Güvenlik Uzmanı
Katılım
16 Ara 2020
Mesajlar
42
Tepki
19

LibreOffice ve OpenOffice, bir saldırganın imzalı belgeleri sızdırmak için kullanabileceği bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.​

LibreOffice ve OpenOffice , saldırganların belgelerin güvenilir bir kaynak tarafından imzalanmış gibi görünmesine olanak tanıyan orta düzeyde bir kusuru gidermek için güvenlik güncellemeleri yayınladı.

“Bir saldırganın belgeleri güvenilir bir kaynak tarafından imzalanmış gibi görünmesi mümkündür. Apache OpenOffice'in 4.1.10'a kadar olan tüm sürümleri etkilenir.” bu güvenlik açığı için danışma belgesini okur .

Kusur 4.1.1 sürümünün yayınlanmasıyla giderildi. Kusur, Almanya Bochum Ruhr Üniversitesi'nden Simon Rohlmann, Vladislav Mladenov, Christian Mainka ve Jorg Schwenk tarafından bildirildi.

Gerçek bir saldırı senaryosunda, tehdit aktörleri, güvenilir bir kaynak tarafından oluşturulmuş gibi görünmelerini sağlamak için silahlı belgeleri imzalayabilir.

Uzmanlar, CVE-2021-25635 açığının, güvenlik açığını CVE-2021-25635 olarak izleyen LibreOffice'i de etkilediğine dikkat çekti.

“LibreOffice'deki Uygunsuz Sertifika Doğrulama güvenlik açığı, bir saldırganın, hedef tarafından güvenilmeyen bir imza ile bir ODF belgesini kendi kendine imzalamasına ve ardından imza algoritmasını geçersiz (veya LibreOffice tarafından bilinmeyen) bir algoritmaya değiştirmek için değiştirmesine izin verdi ve LibreOffice, bu tür yanlış bir şekilde sunacaktı. güvenilir bir kişi tarafından verilen geçerli bir imza olarak bilinmeyen bir algoritmaya sahip bir imza.” LibreOffice tarafından yayınlanan danışma belgesini okur .

Libre Office, sorunu 7.0.5 veya 7.1.1 ve sonraki sürümlerle ele aldı.

Yüklemelerini en son sürüme güncelleyemeyen kullanıcılar makro özelliklerini devre dışı bırakmalıdır.
 
Üst Alt