Blog



Falhas de falsificação de assinatura digital descobertas no OpenOffice e no LibreOffice

Digital Signature Spoofing

Os mantenedores do LibreOffice e do OpenOffice enviaram atualizações de segurança para seu software com o intuito de remediar várias vulnerabilidades que poderiam ser transformadas em armas por agentes mal-intencionados para alterar documentos e fazê-los parecer que foram assinados digitalmente por uma fonte confiável.

A lista das três falhas são:

A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor manipule o carimbo da data  / hora de documentos ODF assinados e, pior, altere o conteúdo de um documento ou auto assine um documento com uma assinatura não confiável, que é então ajustado para alterar o algoritmo de assinatura para um inválido ou algoritmo desconhecido.

Em ambos os dois últimos cenários de ataque – originado como resultado de validação de certificado imprópria – o LibreOffice exibe incorretamente um indicador assinado de forma válida sugerindo que o documento não foi adulterado desde a assinatura e apresenta uma assinatura com um algoritmo desconhecido como uma assinatura legítima emitida por uma parte confiável.

Os pontos fracos foram corrigidos no OpenOffice versão 4.1.11 e no LibreOffice versões 7.0.5, 7.0.6, 7.1.1 e 7.1.2. A universidade Ruhr-Bochum recebeu o crédito por descobrir e relatar todos os três problemas.

As descobertas são as mais recentes em uma série de falhas descobertas pelos pesquisadores da Ruhr-University Bochum e seguem técnicas de ataque semelhantes divulgadas no início deste ano que podem permitir que um adversário modifique o conteúdo visível de um documento PDF certificado exibindo conteúdo malicioso sobre o conteúdo certificado, sem invalidando sua assinatura.

Os usuários do LibreOffice e do OpenOffice são aconselhados a atualizar para a versão mais recente para mitigar o risco associado às falhas.

REFERÊNCIAS:

https://thehackernews.com/2021/10/digital-signature-spoofing-flaws.html

https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.11+Release+Notes

https://en.wikipedia.org/wiki/Digital_signature#Some_digital_signature_algorithms





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Tancredo Neves, 620, Edf. Mundo Plaza, Torre Empresarial, Salas 2105 e 2106 - Caminho das Árvores, Salvador - BA, 41820-020
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.