BOLETIM TEC - VULNERABILIDADE - DESCOBERTA FALHAS DE ASSINATURA DIGITAL NO OPENOFFICE E LIBREOFFICE - SAMIR NEWS

 

*Falhas de falsificação de assinatura digital descobertas no OpenOffice e no LibreOffice

Os mantenedores do LibreOffice e do OpenOffice enviaram atualizações de segurança para seu software de produtividade para remediar várias vulnerabilidades que poderiam ser transformadas em armas por agentes mal-intencionados para alterar documentos para fazê-los parecer que foram assinados digitalmente por uma fonte confiável.

A lista das três falhas é a seguinte -

• CVE-2021-41830 / CVE-2021-25633 - Manipulação de conteúdo e macro com ataque de certificado duplo
• CVE-2021-41831 / CVE-2021-25634 - Manipulação de carimbo de data / hora com embalagem de assinatura
• CVE-2021-41832 / CVE-2021-25635 - Manipulação de conteúdo com ataque de validação de certificado

A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor manipule o carimbo de data / hora de documentos ODF assinados e, pior, altere o conteúdo de um documento ou autoassine um documento com uma assinatura não confiável, que é então ajustado para alterar o algoritmo de assinatura para um inválido ou algoritmo desconhecido.

Em ambos os dois últimos cenários de ataque - originado como resultado de validação de certificado imprópria - o LibreOffice exibe incorretamente um indicador assinado de forma válida sugerindo que o documento não foi adulterado desde a assinatura e apresenta uma assinatura com um algoritmo desconhecido como uma assinatura legítima emitida por uma parte confiável.

Os pontos fracos foram corrigidos no OpenOffice versão 4.1.11 e no LibreOffice versões 7.0.5, 7.0.6, 7.1.1 e 7.1.2. O Chair for Network and Data Security ( NDS ) da Ruhr-University Bochum recebeu o crédito por descobrir e relatar todos os três problemas.

As descobertas são as mais recentes em uma série de falhas descobertas pelos pesquisadores da Ruhr-University Bochum e seguem técnicas de ataque semelhantes divulgadas no início deste ano que podem permitir que um adversário modifique o conteúdo visível de um documento PDF certificado exibindo conteúdo malicioso sobre o conteúdo certificado, sem invalidando sua assinatura.

Os usuários do LibreOffice e do OpenOffice são aconselhados a atualizar para a versão mais recente para mitigar o risco associado às falhas.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.