Hiru hilabeteko garapenaren ondoren eta azken bertsio esanguratsutik zazpi urte igaro ondoren, Apache OpenOffice 4.1.10 ofimatika-multzoaren bertsio zuzentzaile bat sortu zen, 2 konponketa proposatzen zituena. Prestatutako paketeak Linux, Windows eta macOS-erako prestatuta daude.
Argitalpenak ahultasun bat (CVE-2021-30245) konpontzen du, dokumentu batean bereziki diseinatutako esteka batean klik egitean sisteman kode arbitrarioa exekutatzeko aukera ematen duena. Ahultasuna "http://" eta "https://" ez diren protokoloak erabiltzen dituzten hipertestu-esteken prozesamenduaren errore baten ondoriozkoa da, hala nola "smb://" eta "dav://".
Adibidez, erasotzaile batek fitxategi exekutagarri bat jar dezake bere SMB zerbitzarian eta esteka bat txerta dezake dokumentu batean. Erabiltzaileak esteka honetan klik egiten duenean, zehaztutako fitxategi exekutagarria abisatu gabe exekutatuko da. Erasoa Windows eta Xubuntu-n frogatu da. Segurtasunerako, OpenOffice 4.1.10-k elkarrizketa-koadro gehigarri bat gehitu du, erabiltzaileak dokumentu bateko esteka bat jarraitzean eragiketa berrestea eskatzen duena.
Arazoa identifikatu duten ikertzaileek adierazi dutenez, Apache OpenOffice ez ezik, LibreOffice ere arazoa eragiten du (CVE-2021-25631). LibreOfficerentzat, konponketa LibreOffice 7.0.5 eta 7.1.2 bertsioetan sartutako adabaki moduan dago eskuragarri, baina Windows plataforman soilik konpontzen du arazoa (debekatutako fitxategi-luzapenen zerrenda eguneratu da. ). LibreOffice-ko garatzaileek Linux-en konponketa bat sartzeari uko egin zioten, arazoa ez zegoela euren ardura-eremuan eta banaketa/erabiltzaile-inguruneen aldetik konpondu behar zela aipatuz. OpenOffice eta LibreOffice bulegoko paketeez gain, antzeko arazo bat ere detektatu zen Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark eta Mumble-n.
Iturria: opennet.ru