WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện nhiều lỗi giả mạo chữ ký số trong OpenOffice và LibreOffice
LibreOffice và OpenOffice vừa phát hành những bản cập nhật an ninh, khắc phục nhiều lỗ hổng có thể bị tin tặc lợi dụng với mục đích thay đổi tài liệu để chúng nhìn như thể đã được ký số bởi một nguồn tin cậy.
Ba lỗ hổng tồn tại trong OpenOffice và LibreOffice gồm:
• CVE-2021-41830 / CVE-2021-25633 – Lỗi thao tác nội dung và macro bằng tấn công chứng chỉ kép
• CVE-2021-41831 / CVE-2021-25634 – Lỗi thao tác dấu thời gian với gói chữ ký (Signature Wrapping)
• CVE-2021-41832 / CVE-2021-25635 – Lỗi thao tác nội dung bằng tấn công xác thực chứng chỉ
Khai thác thành công các lỗ hổng này có thể tạo điều kiện cho kẻ tấn công tác động vào dấu thời gian (timestamp) của các tài liệu ODF đã ký, tệ hơn là thay đổi nội dung của tài liệu hoặc tự ký tài liệu bằng chữ ký không đáng tin cậy, sau đó điều chỉnh để thay đổi thuật toán chữ ký thành thuật toán không hợp lệ hoặc không xác định.
Hai tình huống tấn công thay đổi nội dung của tài liệu và tự ký tài liệu bằng chữ ký không tin cậy bắt nguồn từ việc xác thực chứng chỉ không đúng. Cụ thể, LibreOffice hiển thị không chính xác chỉ báo cho thấy tài liệu đã được ký hợp lệ và không bị thay đổi từ khi ký, đồng thời hiển thị chữ ký bằng một thuật toán không xác định như chữ ký hợp pháp được cấp bởi một bên tin cậy.
Các sự cố đã được khắc phục trong phiên bản OpenOffice 4.1.11 và LibreOffice 7.0.5, 7.0.6, 7.1.1 cũng như 7.1.2.
Để giảm thiểu rủi ro, người dùng LibreOffice và OpenOffice được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt.
Ba lỗ hổng tồn tại trong OpenOffice và LibreOffice gồm:
• CVE-2021-41830 / CVE-2021-25633 – Lỗi thao tác nội dung và macro bằng tấn công chứng chỉ kép
• CVE-2021-41831 / CVE-2021-25634 – Lỗi thao tác dấu thời gian với gói chữ ký (Signature Wrapping)
• CVE-2021-41832 / CVE-2021-25635 – Lỗi thao tác nội dung bằng tấn công xác thực chứng chỉ
Khai thác thành công các lỗ hổng này có thể tạo điều kiện cho kẻ tấn công tác động vào dấu thời gian (timestamp) của các tài liệu ODF đã ký, tệ hơn là thay đổi nội dung của tài liệu hoặc tự ký tài liệu bằng chữ ký không đáng tin cậy, sau đó điều chỉnh để thay đổi thuật toán chữ ký thành thuật toán không hợp lệ hoặc không xác định.
Hai tình huống tấn công thay đổi nội dung của tài liệu và tự ký tài liệu bằng chữ ký không tin cậy bắt nguồn từ việc xác thực chứng chỉ không đúng. Cụ thể, LibreOffice hiển thị không chính xác chỉ báo cho thấy tài liệu đã được ký hợp lệ và không bị thay đổi từ khi ký, đồng thời hiển thị chữ ký bằng một thuật toán không xác định như chữ ký hợp pháp được cấp bởi một bên tin cậy.
Các sự cố đã được khắc phục trong phiên bản OpenOffice 4.1.11 và LibreOffice 7.0.5, 7.0.6, 7.1.1 cũng như 7.1.2.
Để giảm thiểu rủi ro, người dùng LibreOffice và OpenOffice được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt.
Nguồn: The Hacker News