Na drie maande van ontwikkeling en sewe jaar sedert die laaste beduidende vrystelling, is 'n regstellende vrystelling van die kantoorpakket Apache OpenOffice 4.1.10 gevorm, wat 2 regstellings voorgestel het. Klaargemaakte pakkette word voorberei vir Linux, Windows en macOS.
Die vrystelling herstel 'n kwesbaarheid (CVE-2021-30245) wat toelaat dat arbitrêre kode in die stelsel uitgevoer word wanneer op 'n spesiaal ontwerpte skakel in 'n dokument geklik word. Die kwesbaarheid is as gevolg van 'n fout in die verwerking van hiperteksskakels wat ander protokolle as "http://" en "https://" gebruik, soos "smb://" en "dav://".
Byvoorbeeld, 'n aanvaller kan 'n uitvoerbare lêer op hul SMB-bediener plaas en 'n skakel daarna in 'n dokument invoeg. Wanneer die gebruiker op hierdie skakel klik, sal die gespesifiseerde uitvoerbare lêer sonder waarskuwing uitgevoer word. Die aanval is op Windows en Xubuntu gedemonstreer. Vir sekuriteit het OpenOffice 4.1.10 'n bykomende dialoog bygevoeg wat vereis dat die gebruiker die bewerking moet bevestig wanneer 'n skakel in 'n dokument gevolg word.
Die navorsers wat die probleem geïdentifiseer het, het opgemerk dat nie net Apache OpenOffice nie, maar ook LibreOffice deur die probleem geraak word (CVE-2021-25631). Vir LibreOffice is die oplossing tans beskikbaar in die vorm van 'n pleister wat ingesluit is in die vrystellings van LibreOffice 7.0.5 en 7.1.2, maar dit los die probleem net op die Windows-platform op (die lys van verbode lêeruitbreidings is opgedateer ). Die LibreOffice-ontwikkelaars het geweier om 'n oplossing vir Linux in te sluit, met verwysing na die feit dat die probleem nie in hul verantwoordelikheidsgebied was nie en aan die kant van verspreidings/gebruikeromgewings opgelos moet word. Benewens die OpenOffice- en LibreOffice-kantoorpakkette, is 'n soortgelyke probleem ook in Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark en Mumble opgespoor.
Bron: opennet.ru