Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice

После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS.

В выпуске устранена уязвимость (CVE-2021-30245), позволяющая выполнить произвольный код в системе при клике на специально оформленную ссылку в документе. Уязвимость вызвана ошибкой при обработке гипертекстовых ссылок, в которых используется протоколы, отличные от «http://» и «https://», такие как «smb://» и «dav://».

Например, атакующий может разместить исполняемый файл на своём SMB-сервере и вставить в документ на него ссылку. При клике пользователя на данной ссылке, указанный исполняемый файл без предупреждения будет выполнен. Возможность совершения атаки продемонстрирована в Windows и Xubuntu. Для защиты в OpenOffice 4.1.10 добавлен дополнительный диалог, требующий от пользователя подтверждения операции при переходе по ссылке в документе.

Выявившие проблему исследователи отметили, что проблеме подвержен не только Apache OpenOffice, но и LibreOffice (CVE-2021-25631). Для LibreOffice исправление пока доступно в виде патча, вошедшего в состав выпусков LibreOffice 7.0.5 и 7.1.2, но устраняющего проблему только на платформе Windows (обновлён список запрещённых расширений файлов). Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений. Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и Mumble.

Источник: opennet.ru