Errores de suplantación de firma digital detectados en OpenOffice y LibreOffice

Falsificación de firmas digitales

Los administradores de LibreOffice y OpenOffice han entregado actualizaciones de seguridad para su software productivo para abordar numerosas vulnerabilidades que podrían ser explotadas por actores maliciosos y para alterar documentos para que parezcan firmados digitalmente por una fuente confiable.

La lista de tres deficiencias es la siguiente:

La explotación exitosa de la vulnerabilidad podría permitir que un atacante manipule la marca de tiempo de los documentos ODF firmados y, lo que es peor, altere el contenido del documento o firme manualmente el documento con una firma que no sea de confianza, que luego se modifica para invalidar el algoritmo de firma. o un algoritmo desconocido.

En los dos últimos escenarios de ataque, como resultado de una validación de certificado incorrecta, LibreOffice muestra incorrectamente un indicador de firma válida que indica que el documento no ha sido manipulado desde la firma y representa una firma con un algoritmo desconocido como una firma legítima emitida por un proveedor de confianza. fiesta.

Se han solucionado las debilidades en OpenOffice versión 4.1.11 y LibreOffice versiones 7.0.5, 7.0.6, 7.1.1 y también 7.1.2. El Departamento de Seguridad de Redes y Datos (NDS) de la Ruhr-University Bochum fue responsable de identificar y reportar los tres problemas.

Los hallazgos son los últimos de una serie de deficiencias identificadas por investigadores de la Ruhr-University Bochum y siguen técnicas de ataque similares publicadas a principios de este año que podrían permitir que un oponente modifique el contenido visible de un PDF certificado mostrando contenido malicioso sobre contenido certificado sin invalidando la firma.

Se recomienda a los usuarios de LibreOffice y OpenOffice que actualicen a la última versión para reducir el riesgo de errores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática