Nei trije moannen fan ûntwikkeling en sân jier sûnt de lêste wichtige release, waard in korrektive release fan 'e kantoarsuite Apache OpenOffice 4.1.10 foarme, dy't 2 fixes foarstelde. Ready-made pakketten wurde taret foar Linux, Windows en macOS.
De release reparearret in kwetsberens (CVE-2021-30245) wêrtroch willekeurige koade kin wurde útfierd yn it systeem by it klikken op in spesjaal ûntwurpen keppeling yn in dokumint. De kwetsberens komt troch in flater yn it ferwurkjen fan hypertekstkeppelings dy't oare protokollen brûke dan "http://" en "https://", lykas "smb://" en "dav://".
Bygelyks, in oanfaller kin in útfierber bestân op har SMB-tsjinner pleatse en in keppeling dêre yn in dokumint ynfoegje. As de brûker op dizze keppeling klikt, sil it opjûne útfierbere bestân sûnder warskôging útfierd wurde. De oanfal is oantoand op Windows en Xubuntu. Foar feiligens hat OpenOffice 4.1.10 in ekstra dialoochfinster tafoege dat de brûker fereasket om de operaasje te befêstigjen by it folgjen fan in keppeling yn in dokumint.
De ûndersikers dy't it probleem identifisearren merkten op dat net allinich Apache OpenOffice, mar ek LibreOffice wurdt beynfloede troch it probleem (CVE-2021-25631). Foar LibreOffice is de reparaasje op it stuit beskikber yn 'e foarm fan in patch opnommen yn' e releases fan LibreOffice 7.0.5 en 7.1.2, mar it reparearret it probleem allinich op it Windows-platfoarm (de list mei ferbeane triem-tafoegings is bywurke ). De LibreOffice-ûntwikkelders wegeren om in fix foar Linux op te nimmen, mei oanwizen fan it feit dat it probleem net yn har ferantwurdlikensgebiet wie en moat wurde oplost oan 'e kant fan distribúsjes / brûkersomjouwings. Neist de OpenOffice- en LibreOffice-kantoarsuites waard in ferlykber probleem ek ûntdutsen yn Telegram, Nextcloud, VLC, Bitcoin / Dogecoin Wallet, Wireshark en Mumble.
Boarne: opennet.ru