Nakon tri mjeseca razvoja i sedam godina od posljednjeg značajnog izdanja, formirano je korektivno izdanje uredskog paketa Apache OpenOffice 4.1.10, koje je predložilo 2 popravka. Za Linux, Windows i macOS pripremljeni su gotovi paketi.
Izdanje popravlja ranjivost (CVE-2021-30245) koja omogućuje izvršavanje proizvoljnog koda u sustavu kada se klikne na posebno dizajniranu vezu u dokumentu. Ranjivost je posljedica pogreške u obradi hipertekstualnih veza koje koriste protokole koji nisu "http://" i "https://", kao što su "smb://" i "dav://".
Na primjer, napadač može postaviti izvršnu datoteku na svoj SMB poslužitelj i umetnuti vezu na nju u dokument. Kada korisnik klikne na ovu vezu, navedena izvršna datoteka će se pokrenuti bez upozorenja. Napad je demonstriran na Windowsima i Xubuntuu. Radi sigurnosti, OpenOffice 4.1.10 dodao je dodatni dijaloški okvir koji od korisnika zahtijeva potvrdu operacije kada slijedi vezu u dokumentu.
Istraživači koji su identificirali problem primijetili su da problem ne utječe samo na Apache OpenOffice, već i na LibreOffice (CVE-2021-25631). Za LibreOffice, popravak je trenutačno dostupan u obliku zakrpe uključene u izdanja LibreOffice 7.0.5 i 7.1.2, ali rješava problem samo na Windows platformi (popis zabranjenih ekstenzija datoteka je ažuriran ). Programeri LibreOfficea odbili su uključiti popravak za Linux, navodeći činjenicu da problem nije u njihovom području odgovornosti i da ga treba riješiti na strani distribucija/korisničkih okruženja. Osim uredskih paketa OpenOffice i LibreOffice, sličan problem otkriven je i u Telegramu, Nextcloudu, VLC-u, Bitcoin/Dogecoin Walletu, Wiresharku i Mumbleu.
Izvor: opennet.ru