Üç aylıq inkişafdan və son əhəmiyyətli buraxılışdan sonra yeddi ildən sonra, 4.1.10 düzəliş təklif edən Apache OpenOffice 2 ofis paketinin düzəldici buraxılışı yaradıldı. Hazır paketlər Linux, Windows və macOS üçün hazırlanır.
Buraxılış sənəddə xüsusi hazırlanmış keçidə kliklədikdə sistemdə ixtiyari kodun icrasına imkan verən zəifliyi (CVE-2021-30245) düzəldir. Zəiflik "smb://" və "dav://" kimi "http://" və "https://" protokollarından başqa protokollardan istifadə edən hipermətn keçidlərinin emalı zamanı xəta ilə bağlıdır.
Məsələn, təcavüzkar icra edilə bilən faylı öz SMB serverinə yerləşdirə və ona keçidi sənədə daxil edə bilər. İstifadəçi bu linki kliklədikdə, göstərilən icra olunan fayl xəbərdarlıq edilmədən icra ediləcək. Hücum Windows və Xubuntu-da nümayiş etdirilib. Təhlükəsizlik üçün OpenOffice 4.1.10 istifadəçidən sənəddəki keçidi izləyərkən əməliyyatı təsdiqləməsini tələb edən əlavə dialoq əlavə etdi.
Problemi müəyyən edən tədqiqatçılar qeyd ediblər ki, problemdən təkcə Apache OpenOffice deyil, LibreOffice də təsirlənir (CVE-2021-25631). LibreOffice üçün düzəliş hazırda LibreOffice 7.0.5 və 7.1.2 buraxılışlarına daxil edilmiş yamaq şəklində mövcuddur, lakin o, problemi yalnız Windows platformasında həll edir (qadağan olunmuş fayl uzantılarının siyahısı yenilənib) ). LibreOffice tərtibatçıları problemin onların məsuliyyət sahələrində olmadığını və paylamalar/istifadəçi mühitləri tərəfində həll edilməli olduğunu əsas gətirərək Linux üçün düzəliş daxil etməkdən imtina etdilər. OpenOffice və LibreOffice ofis paketlərinə əlavə olaraq oxşar problem Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark və Mumble-da da aşkarlanıb.
Mənbə: opennet.ru