Après trois mois de développement et sept ans depuis la dernière version significative, une version corrective de la suite bureautique Apache OpenOffice 4.1.10 a été créée, qui proposait 2 correctifs. Des packages prêts à l'emploi sont préparés pour Linux, Windows et macOS.
La version corrige une vulnérabilité (CVE-2021-30245) qui permet l'exécution de code arbitraire dans le système lorsque l'on clique sur un lien spécialement conçu dans un document. La vulnérabilité est due à une erreur dans le traitement des liens hypertextes utilisant d'autres protocoles que « http:// » et « https:// », tels que « smb:// » et « dav:// ».
Par exemple, un attaquant peut placer un fichier exécutable sur son serveur SMB et insérer un lien vers celui-ci dans un document. Lorsque l'utilisateur clique sur ce lien, le fichier exécutable spécifié sera exécuté sans avertissement. L'attaque a été démontrée sur Windows et Xubuntu. Pour des raisons de sécurité, OpenOffice 4.1.10 a ajouté une boîte de dialogue supplémentaire qui demande à l'utilisateur de confirmer l'opération lorsqu'il suit un lien dans un document.
Les chercheurs qui ont identifié le problème ont noté que non seulement Apache OpenOffice, mais également LibreOffice sont concernés par le problème (CVE-2021-25631). Pour LibreOffice, le correctif est actuellement disponible sous la forme d'un patch inclus dans les versions de LibreOffice 7.0.5 et 7.1.2, mais il résout le problème uniquement sur la plateforme Windows (la liste des extensions de fichiers interdites a été mise à jour ). Les développeurs de LibreOffice ont refusé d'inclure un correctif pour Linux, citant le fait que le problème ne relevait pas de leur responsabilité et devait être résolu du côté des distributions/environnements utilisateur. Outre les suites bureautiques OpenOffice et LibreOffice, un problème similaire a également été détecté dans Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark et Mumble.
Source: opennet.ru