Después de tres meses de desarrollo y siete años desde el último lanzamiento importante, se formó una versión correctiva de la suite ofimática Apache OpenOffice 4.1.10, que proponía 2 correcciones. Se preparan paquetes listos para usar para Linux, Windows y macOS.
El lanzamiento corrige una vulnerabilidad (CVE-2021-30245) que permite ejecutar código arbitrario en el sistema al hacer clic en un enlace especialmente diseñado en un documento. La vulnerabilidad se debe a un error en el procesamiento de enlaces de hipertexto que utilizan protocolos distintos a "http://" y "https://", como "smb://" y "dav://".
Por ejemplo, un atacante puede colocar un archivo ejecutable en su servidor SMB e insertar un enlace en un documento. Cuando el usuario hace clic en este enlace, el archivo ejecutable especificado se ejecutará sin previo aviso. El ataque ha sido demostrado en Windows y Xubuntu. Por seguridad, OpenOffice 4.1.10 agregó un cuadro de diálogo adicional que requiere que el usuario confirme la operación al seguir un enlace en un documento.
Los investigadores que identificaron el problema notaron que no solo Apache OpenOffice, sino también LibreOffice se ven afectados por el problema (CVE-2021-25631). Para LibreOffice, la solución está disponible actualmente en forma de parche incluido en las versiones de LibreOffice 7.0.5 y 7.1.2, pero soluciona el problema solo en la plataforma Windows (la lista de extensiones de archivos prohibidas se ha actualizado). ). Los desarrolladores de LibreOffice se negaron a incluir una solución para Linux, citando el hecho de que el problema no estaba en su área de responsabilidad y debería resolverse desde el lado de las distribuciones/entornos de usuario. Además de en las suites ofimáticas OpenOffice y LibreOffice, también se detectó un problema similar en Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark y Mumble.
Fuente: opennet.ru