Post tri monatoj da evoluo kaj sep jaroj ekde la lasta signifa eldono, estis formita korekta eldono de la oficeja serio Apache OpenOffice 4.1.10, kiu proponis 2 korektojn. Pretaj pakaĵoj estas pretaj por Linukso, Vindozo kaj macOS.
La eldono korektas vundeblecon (CVE-2021-30245) kiu permesas arbitran kodon esti ekzekutita en la sistemo kiam oni klakas sur speciale desegnita ligilo en dokumento. La vundebleco estas pro eraro en la prilaborado de hipertekstaj ligiloj, kiuj uzas protokolojn krom "http://" kaj "https://", kiel "smb://" kaj "dav://".
Ekzemple, atakanto povas meti plenumeblan dosieron sur sian SMB-servilon kaj enmeti ligon al ĝi en dokumenton. Kiam la uzanto klakas sur ĉi tiu ligo, la specifita rulebla dosiero estos ekzekutita sen averto. La atako estis pruvita sur Vindozo kaj Xubuntu. Por sekureco, OpenOffice 4.1.10 aldonis plian dialogon, kiu postulas, ke la uzanto konfirmu la operacion sekvante ligilon en dokumento.
La esploristoj, kiuj identigis la problemon, rimarkis, ke ne nur Apache OpenOffice, sed ankaŭ LibreOffice estas tuŝita de la problemo (CVE-2021-25631). Por LibreOffice, la riparo estas nuntempe havebla en formo de flikaĵo inkluzivita en la eldonoj de LibreOffice 7.0.5 kaj 7.1.2, sed ĝi solvas la problemon nur sur la Vindoza platformo (la listo de malpermesitaj dosier-etendoj estis ĝisdatigita. ). La programistoj de LibreOffice rifuzis inkluzivi korekton por Linukso, citante la fakton, ke la problemo ne estis en sia areo de respondeco kaj devus esti solvita flanke de distribuoj/uzantmedioj. Krom la oficejaj serioj OpenOffice kaj LibreOffice, simila problemo ankaŭ estis detektita en Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark kaj Mumble.
fonto: opennet.ru