Despois de tres meses de desenvolvemento e sete anos desde a última versión significativa, formouse unha versión correctiva da suite ofimática Apache OpenOffice 4.1.10, que propoñía 2 correccións. Os paquetes preparados están preparados para Linux, Windows e macOS.
A versión corrixe unha vulnerabilidade (CVE-2021-30245) que permite executar código arbitrario no sistema ao facer clic nunha ligazón especialmente deseñada nun documento. A vulnerabilidade débese a un erro no procesamento de ligazóns de hipertexto que utilizan protocolos distintos de "http://" e "https://", como "smb://" e "dav://".
Por exemplo, un atacante pode colocar un ficheiro executable no seu servidor SMB e inserir unha ligazón a el nun documento. Cando o usuario fai clic nesta ligazón, o ficheiro executable especificado executarase sen previo aviso. O ataque demostrouse en Windows e Xubuntu. Por motivos de seguridade, OpenOffice 4.1.10 engadiu un diálogo adicional que require que o usuario confirme a operación ao seguir unha ligazón nun documento.
Os investigadores que identificaron o problema sinalaron que non só Apache OpenOffice, senón tamén LibreOffice está afectado polo problema (CVE-2021-25631). Para LibreOffice, a corrección está dispoñible actualmente en forma de parche incluído nas versións de LibreOffice 7.0.5 e 7.1.2, pero soluciona o problema só na plataforma Windows (actualizouse a lista de extensións de ficheiro prohibidas). ). Os desenvolvedores de LibreOffice negáronse a incluír unha corrección para Linux, citando o feito de que o problema non estaba na súa área de responsabilidade e debería resolverse no lado das distribucións/entornos de usuario. Ademais das suites ofimáticas OpenOffice e LibreOffice, tamén se detectou un problema similar en Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark e Mumble.
Fonte: opennet.ru