Ar Γ΄l tri mis o ddatblygiad a saith mlynedd ers y datganiad sylweddol diwethaf, ffurfiwyd datganiad cywirol o'r gyfres swyddfa Apache OpenOffice 4.1.10, a oedd yn cynnig 2 atgyweiriad. Paratoir pecynnau parod ar gyfer Linux, Windows a macOS.
Mae'r datganiad yn trwsio bregusrwydd (CVE-2021-30245) sy'n caniatΓ‘u gweithredu cod mympwyol yn y system wrth glicio ar ddolen a ddyluniwyd yn arbennig mewn dogfen. Mae'r bregusrwydd oherwydd gwall wrth brosesu dolenni hyperdestun sy'n defnyddio protocolau heblaw "http://" a "https://", megis "smb: //" a "dav://".
Er enghraifft, gall ymosodwr osod ffeil gweithredadwy ar eu gweinydd SMB a mewnosod dolen iddo mewn dogfen. Pan fydd y defnyddiwr yn clicio ar y ddolen hon, bydd y ffeil gweithredadwy benodol yn cael ei gweithredu heb rybudd. Mae'r ymosodiad wedi'i ddangos ar Windows a Xubuntu. Er diogelwch, ychwanegodd OpenOffice 4.1.10 ddeialog ychwanegol sy'n ei gwneud yn ofynnol i'r defnyddiwr gadarnhau'r gweithrediad wrth ddilyn dolen mewn dogfen.
Nododd yr ymchwilwyr a nododd y broblem fod nid yn unig Apache OpenOffice, ond hefyd LibreOffice yn cael ei effeithio gan y broblem (CVE-2021-25631). Ar gyfer LibreOffice, mae'r atgyweiriad ar gael ar hyn o bryd ar ffurf clwt sydd wedi'i gynnwys yn y datganiadau o LibreOffice 7.0.5 a 7.1.2, ond mae'n datrys y broblem ar blatfform Windows yn unig (mae'r rhestr o estyniadau ffeiliau gwaharddedig wedi'i diweddaru ). Gwrthododd datblygwyr LibreOffice gynnwys atgyweiriad ar gyfer Linux, gan nodi'r ffaith nad oedd y broblem yn eu maes cyfrifoldeb ac y dylid ei datrys ar ochr dosbarthiadau / amgylcheddau defnyddwyr. Yn ogystal ag ystafelloedd swyddfa OpenOffice a LibreOffice, canfuwyd problem debyg hefyd yn Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark a Mumble.
Ffynhonnell: opennet.ru