Phát hiện nhiều lỗi giả mạo chữ ký số trong OpenOffice và LibreOffice

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 13/10/21, 11:10 AM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 653
    Đã được thích: 78
    Điểm thành tích:
    48
    LibreOffice và OpenOffice vừa phát hành những bản cập nhật an ninh, khắc phục nhiều lỗ hổng có thể bị tin tặc lợi dụng với mục đích thay đổi tài liệu để chúng nhìn như thể đã được ký số bởi một nguồn tin cậy.

    OpenOffice_LibreOffice.jpg

    Ba lỗ hổng tồn tại trong OpenOffice và LibreOffice gồm:

    • CVE-2021-41830 / CVE-2021-25633 – Lỗi thao tác nội dung và macro bằng tấn công chứng chỉ kép

    • CVE-2021-41831 / CVE-2021-25634 – Lỗi thao tác dấu thời gian với gói chữ ký (Signature Wrapping)

    • CVE-2021-41832 / CVE-2021-25635 – Lỗi thao tác nội dung bằng tấn công xác thực chứng chỉ

    Khai thác thành công các lỗ hổng này có thể tạo điều kiện cho kẻ tấn công tác động vào dấu thời gian (timestamp) của các tài liệu ODF đã ký, tệ hơn là thay đổi nội dung của tài liệu hoặc tự ký tài liệu bằng chữ ký không đáng tin cậy, sau đó điều chỉnh để thay đổi thuật toán chữ ký thành thuật toán không hợp lệ hoặc không xác định.

    Hai tình huống tấn công thay đổi nội dung của tài liệu và tự ký tài liệu bằng chữ ký không tin cậy bắt nguồn từ việc xác thực chứng chỉ không đúng. Cụ thể, LibreOffice hiển thị không chính xác chỉ báo cho thấy tài liệu đã được ký hợp lệ và không bị thay đổi từ khi ký, đồng thời hiển thị chữ ký bằng một thuật toán không xác định như chữ ký hợp pháp được cấp bởi một bên tin cậy.

    Các sự cố đã được khắc phục trong phiên bản OpenOffice 4.1.11 và LibreOffice 7.0.5, 7.0.6, 7.1.1 cũng như 7.1.2.

    Để giảm thiểu rủi ro, người dùng LibreOffice và OpenOffice được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt.

    Nguồn: The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan