بعد ثلاثة أشهر من التطوير وسبع سنوات منذ آخر إصدار مهم، تم تشكيل إصدار تصحيحي لمجموعة Office Apache OpenOffice 4.1.10، والذي اقترح إصلاحين. يتم إعداد الحزم الجاهزة لنظام التشغيل Linux وWindows وmacOS.
يعمل الإصدار على إصلاح ثغرة أمنية (CVE-2021-30245) تسمح بتنفيذ تعليمات برمجية عشوائية في النظام عند النقر فوق رابط مصمم خصيصًا في مستند. ترجع الثغرة الأمنية إلى خطأ في معالجة روابط النص التشعبي التي تستخدم بروتوكولات أخرى غير "http://" و"https://"، مثل "smb://" و"dav://".
على سبيل المثال، يمكن للمهاجم وضع ملف قابل للتنفيذ على خادم SMB الخاص به وإدراج رابط إليه في مستند. عندما ينقر المستخدم على هذا الرابط، سيتم تنفيذ الملف القابل للتنفيذ المحدد دون سابق إنذار. لقد تم عرض الهجوم على نظامي التشغيل Windows وXubuntu. للأمان، أضاف OpenOffice 4.1.10 مربع حوار إضافي يتطلب من المستخدم تأكيد العملية عند اتباع رابط في مستند.
لاحظ الباحثون الذين حددوا المشكلة أنه ليس فقط Apache OpenOffice، ولكن أيضًا LibreOffice يتأثر بالمشكلة (CVE-2021-25631). بالنسبة لـ LibreOffice، يتوفر الإصلاح حاليًا على شكل تصحيح مضمن في إصدارات LibreOffice 7.0.5 و7.1.2، ولكنه يعمل على إصلاح المشكلة فقط على نظام Windows الأساسي (تم تحديث قائمة امتدادات الملفات المحظورة ). رفض مطورو LibreOffice تضمين إصلاح لنظام التشغيل Linux، مشيرين إلى حقيقة أن المشكلة لم تكن ضمن نطاق مسؤوليتهم ويجب حلها من جانب التوزيعات/بيئات المستخدم. بالإضافة إلى مجموعات Office OpenOffice وLibreOffice، تم اكتشاف مشكلة مماثلة أيضًا في Telegram وNextcloud وVLC وBitcoin/Dogecoin Wallet وWireshark وMumble.
المصدر: opennet.ru