Efter tre måneders udvikling og syv år siden den sidste betydelige udgivelse, blev der dannet en korrigerende udgivelse af kontorpakken Apache OpenOffice 4.1.10, som foreslog 2 rettelser. Færdige pakker er forberedt til Linux, Windows og macOS.
Udgivelsen retter en sårbarhed (CVE-2021-30245), der gør det muligt at udføre vilkårlig kode i systemet, når der klikkes på et specielt designet link i et dokument. Sårbarheden skyldes en fejl i behandlingen af hypertekstlinks, der bruger andre protokoller end "http://" og "https://", såsom "smb://" og "dav://".
For eksempel kan en angriber placere en eksekverbar fil på sin SMB-server og indsætte et link til den i et dokument. Når brugeren klikker på dette link, vil den angivne eksekverbare fil blive udført uden varsel. Angrebet er blevet demonstreret på Windows og Xubuntu. Af sikkerhedsmæssige årsager tilføjede OpenOffice 4.1.10 en ekstra dialogboks, der kræver, at brugeren bekræfter handlingen, når han følger et link i et dokument.
Forskerne, der identificerede problemet, bemærkede, at ikke kun Apache OpenOffice, men også LibreOffice er berørt af problemet (CVE-2021-25631). For LibreOffice er rettelsen i øjeblikket tilgængelig i form af en patch inkluderet i udgivelserne af LibreOffice 7.0.5 og 7.1.2, men den løser kun problemet på Windows-platformen (listen over forbudte filtypenavne er blevet opdateret ). LibreOffice-udviklerne nægtede at inkludere en rettelse til Linux med henvisning til, at problemet ikke var inden for deres ansvarsområde og burde løses på siden af distributioner/brugermiljøer. Ud over kontorpakkerne OpenOffice og LibreOffice blev et lignende problem også opdaget i Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark og Mumble.
Kilde: opennet.ru