Tin An Ninh Mạng

Phát hiện nhiều lỗi giả mạo chữ ký số trong OpenOffice và LibreOffice

LibreOffice và OpenOffice vừa phát hành những bản cập nhật an ninh, khắc phục nhiều lỗ hổng có thể bị tin tặc lợi dụng với mục đích thay đổi tài liệu để chúng nhìn như thể đã được ký số bởi một nguồn tin cậy.

{

}

OpenOffice_LibreOffice.jpg

Ba lỗ hổng tồn tại trong OpenOffice và LibreOffice gồm:

• CVE-2021-41830 / CVE-2021-25633 – Lỗi thao tác nội dung và macro bằng tấn công chứng chỉ kép

• CVE-2021-41831 / CVE-2021-25634 – Lỗi thao tác dấu thời gian với gói chữ ký (Signature Wrapping)

• CVE-2021-41832 / CVE-2021-25635 – Lỗi thao tác nội dung bằng tấn công xác thực chứng chỉ

Khai thác thành công các lỗ hổng này có thể tạo điều kiện cho kẻ tấn công tác động vào dấu thời gian (timestamp) của các tài liệu ODF đã ký, tệ hơn là thay đổi nội dung của tài liệu hoặc tự ký tài liệu bằng chữ ký không đáng tin cậy, sau đó điều chỉnh để thay đổi thuật toán chữ ký thành thuật toán không hợp lệ hoặc không xác định.

Hai tình huống tấn công thay đổi nội dung của tài liệu và tự ký tài liệu bằng chữ ký không tin cậy bắt nguồn từ việc xác thực chứng chỉ không đúng. Cụ thể, LibreOffice hiển thị không chính xác chỉ báo cho thấy tài liệu đã được ký hợp lệ và không bị thay đổi từ khi ký, đồng thời hiển thị chữ ký bằng một thuật toán không xác định như chữ ký hợp pháp được cấp bởi một bên tin cậy.

Các sự cố đã được khắc phục trong phiên bản OpenOffice 4.1.11 và LibreOffice 7.0.5, 7.0.6, 7.1.1 cũng như 7.1.2.

Để giảm thiểu rủi ro, người dùng LibreOffice và OpenOffice được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt.

Nguồn: The Hacker News

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !