Nakon tri mjeseca razvoja i sedam godina od posljednjeg značajnog izdanja, formirano je korektivno izdanje uredskog paketa Apache OpenOffice 4.1.10, koje je predložilo 2 popravke. Gotovi paketi su pripremljeni za Linux, Windows i macOS.
Izdanje popravlja ranjivost (CVE-2021-30245) koja omogućava izvršavanje proizvoljnog koda u sistemu kada se klikne na posebno dizajnirani link u dokumentu. Ranjivost je uzrokovana greškom u obradi hipertekstualnih veza koje koriste protokole različite od "http://" i "https://", kao što su "smb://" i "dav://".
Na primjer, napadač može postaviti izvršnu datoteku na svoj SMB server i umetnuti vezu do nje u dokument. Kada korisnik klikne na ovu vezu, navedena izvršna datoteka će se izvršiti bez upozorenja. Napad je demonstriran na Windows i Xubuntu. Radi sigurnosti, OpenOffice 4.1.10 je dodao dodatni dijalog koji zahtijeva od korisnika da potvrdi operaciju kada slijedi vezu u dokumentu.
Istraživači koji su identifikovali problem primetili su da problem ne utiče samo na Apache OpenOffice, već i na LibreOffice (CVE-2021-25631). Za LibreOffice, popravak je trenutno dostupan u obliku zakrpe uključene u izdanja LibreOffice 7.0.5 i 7.1.2, ali rješava problem samo na Windows platformi (lista zabranjenih ekstenzija datoteka je ažurirana ). Programeri LibreOfficea odbili su uključiti ispravku za Linux, navodeći činjenicu da problem nije u njihovoj nadležnosti i da ga treba riješiti na strani distribucija/korisničkih okruženja. Pored kancelarijskih paketa OpenOffice i LibreOffice, sličan problem je otkriven i u Telegramu, Nextcloudu, VLC-u, Bitcoin/Dogecoin Walletu, Wiresharku i Mumbleu.
izvor: opennet.ru