Nach drei Monaten Entwicklungszeit und sieben Jahren seit der letzten wichtigen Veröffentlichung wurde eine Korrekturversion der Office-Suite Apache OpenOffice 4.1.10 erstellt, die zwei Korrekturen vorsah. Für Linux, Windows und macOS werden fertige Pakete vorbereitet.
Die Veröffentlichung behebt eine Schwachstelle (CVE-2021-30245), die es ermöglicht, beliebigen Code im System auszuführen, wenn auf einen speziell gestalteten Link in einem Dokument geklickt wird. Die Sicherheitslücke beruht auf einem Fehler bei der Verarbeitung von Hypertext-Links, die andere Protokolle als „http://“ und „https://“ verwenden, wie zum Beispiel „smb://“ und „dav://“.
Beispielsweise kann ein Angreifer eine ausführbare Datei auf seinem SMB-Server ablegen und einen Link dazu in ein Dokument einfügen. Wenn der Benutzer auf diesen Link klickt, wird die angegebene ausführbare Datei ohne Warnung ausgeführt. Der Angriff wurde auf Windows und Xubuntu demonstriert. Aus Sicherheitsgründen wurde in OpenOffice 4.1.10 ein zusätzlicher Dialog hinzugefügt, der den Benutzer dazu auffordert, den Vorgang zu bestätigen, wenn er einem Link in einem Dokument folgt.
Die Forscher, die das Problem identifiziert haben, stellten fest, dass nicht nur Apache OpenOffice, sondern auch LibreOffice von dem Problem betroffen ist (CVE-2021-25631). Für LibreOffice ist der Fix derzeit in Form eines Patches verfügbar, der in den Versionen LibreOffice 7.0.5 und 7.1.2 enthalten ist, er behebt das Problem jedoch nur auf der Windows-Plattform (die Liste der verbotenen Dateierweiterungen wurde aktualisiert). ). Die LibreOffice-Entwickler weigerten sich, einen Fix für Linux einzubinden, mit der Begründung, dass das Problem nicht in ihrem Verantwortungsbereich liege und auf Seiten der Distributionen/Benutzerumgebungen gelöst werden müsse. Neben den Office-Suiten OpenOffice und LibreOffice wurde ein ähnliches Problem auch bei Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark und Mumble festgestellt.
Source: opennet.ru