Human sa tulo ka bulan nga pag-uswag ug pito ka tuig sukad sa kataposang mahinungdanong pagpagawas, usa ka corrective release sa office suite nga Apache OpenOffice 4.1.10 ang naporma, nga nagsugyot ug 2 ka pag-ayo. Ang mga andam nga mga pakete giandam alang sa Linux, Windows ug macOS.
Ang pagpagawas nag-ayo sa usa ka kahuyang (CVE-2021-30245) nga nagtugot sa arbitraryong code nga ipatuman sa sistema kung nag-klik sa usa ka espesyal nga gidisenyo nga link sa usa ka dokumento. Ang pagkahuyang tungod sa usa ka sayup sa pagproseso sa mga hypertext link nga naggamit sa mga protocol gawas sa "http://" ug "https://", sama sa "smb://" ug "dav://".
Pananglitan, ang usa ka tig-atake mahimong magbutang ug executable file sa ilang SMB server ug magsal-ot og link niini ngadto sa usa ka dokumento. Kung ang user mag-klik niini nga link, ang gitakda nga executable file ipatuman nga walay pasidaan. Ang pag-atake gipakita sa Windows ug Xubuntu. Alang sa seguridad, ang OpenOffice 4.1.10 midugang ug dugang nga dialogo nga nagkinahanglan sa user nga kumpirmahon ang operasyon kon mosunod sa link sa usa ka dokumento.
Ang mga tigdukiduki nga nakaila sa problema nakamatikod nga dili lamang ang Apache OpenOffice, apan ang LibreOffice usab ang apektado sa problema (CVE-2021-25631). Alang sa LibreOffice, ang pag-ayo anaa karon sa porma sa usa ka patch nga gilakip sa mga pagpagawas sa LibreOffice 7.0.5 ug 7.1.2, apan kini nag-ayo sa problema lamang sa Windows platform (ang listahan sa gidili nga mga extension sa file gi-update. ). Ang mga nag-develop sa LibreOffice nagdumili sa pag-apil sa usa ka pag-ayo alang sa Linux, nga gikutlo ang kamatuoran nga ang problema wala sa ilang lugar nga responsibilidad ug kinahanglan nga masulbad sa kilid sa mga pag-apod-apod / mga palibot sa tiggamit. Dugang pa sa OpenOffice ug LibreOffice office suites, usa ka susama nga problema ang nakita usab sa Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark ug Mumble.
Source: opennet.ru