Pärast kolmekuulist arendustööd ja seitset aastat pärast viimast olulist väljalaset loodi kontorikomplekti Apache OpenOffice 4.1.10 korrigeeriv väljalase, mis pakkus välja 2 parandust. Valmis paketid on ette valmistatud Linuxi, Windowsi ja macOS-i jaoks.
Väljalase parandab haavatavuse (CVE-2021-30245), mis võimaldab dokumendis spetsiaalselt loodud lingil klõpsates käivitada süsteemis suvalise koodi. Haavatavuse põhjuseks on viga hüperteksti linkide töötlemisel, mis kasutavad muid protokolle peale "http://" ja "https://", näiteks "smb://" ja "dav://".
Näiteks võib ründaja paigutada käivitatava faili oma SMB-serverisse ja sisestada selle lingi dokumenti. Kui kasutaja klõpsab sellel lingil, käivitatakse määratud käivitatav fail ilma hoiatuseta. Rünnakut on demonstreeritud Windowsi ja Xubuntu puhul. Turvalisuse huvides lisas OpenOffice 4.1.10 täiendava dialoogi, mis nõuab kasutajalt dokumendis lingi jälgimisel toimingu kinnitamist.
Probleemi tuvastanud teadlased märkisid, et probleem ei puuduta mitte ainult Apache OpenOffice'i, vaid ka LibreOffice'i (CVE-2021-25631). LibreOffice'i jaoks on parandus praegu saadaval LibreOffice 7.0.5 ja 7.1.2 väljalasetes sisalduva plaastri kujul, kuid see lahendab probleemi ainult Windowsi platvormil (keelatud faililaiendite loendit on värskendatud ). LibreOffice'i arendajad keeldusid Linuxi jaoks parandust lisamast, viidates asjaolule, et probleem ei kuulu nende vastutusalasse ja see tuleks lahendada distributsioonide/kasutajakeskkondade poolel. Lisaks OpenOffice'i ja LibreOffice'i kontorikomplektidele tuvastati sarnane probleem ka Telegramis, Nextcloudis, VLC-s, Bitcoin/Dogecoin Walletis, Wiresharkis ja Mumble'is.
Allikas: opennet.ru