Kolmen kuukauden kehitystyön ja seitsemän vuoden viimeisen merkittävän julkaisun jälkeen muodostettiin Apache OpenOffice 4.1.10 -toimistopaketin korjaava julkaisu, joka ehdotti kahta korjausta. Valmiit paketit valmistetaan Linuxille, Windowsille ja macOS:lle.
Julkaisu korjaa haavoittuvuuden (CVE-2021-30245), joka sallii mielivaltaisen koodin suorittamisen järjestelmässä, kun asiakirjassa olevaa erityisesti suunniteltua linkkiä napsautetaan. Haavoittuvuus johtuu virheestä sellaisten hypertekstilinkkien käsittelyssä, jotka käyttävät muita protokollia kuin "http://" ja "https://", kuten "smb://" ja "dav://".
Hyökkääjä voi esimerkiksi sijoittaa suoritettavan tiedoston SMB-palvelimelleen ja lisätä siihen linkin asiakirjaan. Kun käyttäjä napsauttaa tätä linkkiä, määritetty suoritettava tiedosto suoritetaan ilman varoitusta. Hyökkäys on osoitettu Windowsissa ja Xubuntussa. Turvallisuussyistä OpenOffice 4.1.10 lisäsi ylimääräisen valintaikkunan, jossa käyttäjän on vahvistettava toiminto, kun se seuraa dokumentissa olevaa linkkiä.
Ongelman tunnistaneet tutkijat huomauttivat, että ongelma ei koske vain Apache OpenOfficea, vaan myös LibreOfficea (CVE-2021-25631). LibreOfficea varten korjaus on tällä hetkellä saatavilla LibreOffice 7.0.5 ja 7.1.2 -julkaisuihin sisältyvän korjaustiedoston muodossa, mutta se korjaa ongelman vain Windows-alustalla (kiellettyjen tiedostopäätteiden luettelo on päivitetty ). LibreOffice-kehittäjät kieltäytyivät sisällyttämästä korjausta Linuxille vedoten siihen, että ongelma ei kuulunut heidän vastuualueeseensa ja se pitäisi ratkaista jakelujen/käyttäjäympäristöjen puolella. OpenOfficen ja LibreOfficen toimistopakettien lisäksi samanlainen ongelma havaittiin myös Telegramissa, Nextcloudissa, VLC:ssä, Bitcoin/Dogecoin Walletissa, Wiresharkissa ja Mumblessa.
Lähde: opennet.ru