Apre twa mwa nan devlopman ak sèt ane depi dènye lage enpòtan an, yo te fòme yon lage korektif nan suite biwo Apache OpenOffice 4.1.10, ki te pwopoze 2 fikse. Pakè ki pare yo prepare pou Linux, Windows ak macOS.
Liberasyon an ranje yon vilnerabilite (CVE-2021-30245) ki pèmèt kòd abitrè yo dwe egzekite nan sistèm nan lè w klike sou yon lyen ki fèt espesyalman nan yon dokiman. Vilnerabilite a se akòz yon erè nan pwosesis la nan lyen ipètèks ki sèvi ak pwotokòl lòt pase "http://" ak "https://", tankou "smb://" ak "dav://".
Pou egzanp, yon atakè ka mete yon dosye ègzèkutabl sou sèvè SMB yo epi mete yon lyen nan li nan yon dokiman. Lè itilizatè a klike sou lyen sa a, yo pral egzekite dosye egzekitab espesifye a san avètisman. Atak la te demontre sou Windows ak Xubuntu. Pou sekirite, OpenOffice 4.1.10 te ajoute yon dyalòg adisyonèl ki mande itilizatè a konfime operasyon an lè w ap swiv yon lyen nan yon dokiman.
Chèchè yo ki te idantifye pwoblèm nan te note ke se pa sèlman Apache OpenOffice, men tou, LibreOffice afekte pa pwoblèm nan (CVE-2021-25631). Pou LibreOffice, ranje a disponib kounye a nan fòm lan nan yon patch ki enkli nan degaje yo nan LibreOffice 7.0.5 ak 7.1.2, men li fikse pwoblèm nan sèlman sou platfòm la Windows (lis ekstansyon dosye entèdi yo te mete ajou). ). Devlopè LibreOffice yo te refize mete yon ranje pou Linux, site lefèt ke pwoblèm nan pa t nan zòn responsablite yo epi yo ta dwe rezoud sou bò distribisyon / anviwònman itilizatè. Anplis de swit biwo OpenOffice ak LibreOffice, yo te detekte yon pwoblèm menm jan an tou nan Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark ak Mumble.
Sous: opennet.ru