Երեք ամիս մշակումից և վերջին նշանակալի թողարկումից յոթ տարի հետո ձևավորվեց Apache OpenOffice 4.1.10 գրասենյակային փաթեթի ուղղիչ թողարկում, որն առաջարկում էր 2 ուղղում: Պատրաստի փաթեթներ են պատրաստվում Linux-ի, Windows-ի և macOS-ի համար։
Թողարկումն ուղղում է խոցելիությունը (CVE-2021-30245), որը թույլ է տալիս կամայական կոդի գործարկումը համակարգում, երբ կտտացնում եք փաստաթղթի հատուկ մշակված հղմանը: Խոցելիությունը կապված է հիպերտեքստային հղումների մշակման սխալի հետ, որոնք օգտագործում են այլ արձանագրություններ, բացի «http://»-ից և «https://»-ից, ինչպիսիք են «smb://»-ը և «dav://»-ը:
Օրինակ, հարձակվողը կարող է գործարկվող ֆայլ տեղադրել իր SMB սերվերի վրա և դրա հղումը տեղադրել փաստաթղթում: Երբ օգտվողը սեղմում է այս հղումը, նշված գործարկվող ֆայլը կկատարվի առանց նախազգուշացման: Հարձակումը ցուցադրվել է Windows-ի և Xubuntu-ի վրա: Անվտանգության համար OpenOffice 4.1.10-ն ավելացրել է լրացուցիչ երկխոսություն, որը պահանջում է, որ օգտագործողը հաստատի գործողությունը, երբ հետևում է փաստաթղթի հղմանը:
Խնդիրը բացահայտած հետազոտողները նշել են, որ խնդիրն ազդում է ոչ միայն Apache OpenOffice-ի, այլև LibreOffice-ի վրա (CVE-2021-25631): LibreOffice-ի համար ուղղումը ներկայումս հասանելի է LibreOffice 7.0.5 և 7.1.2 թողարկումներում ներառված կարկատակի տեսքով, սակայն այն լուծում է խնդիրը միայն Windows հարթակում (արգելված ֆայլերի ընդլայնումների ցանկը թարմացվել է։ ) LibreOffice-ի ծրագրավորողները հրաժարվել են ներառել Linux-ի շտկում՝ պատճառաբանելով այն փաստը, որ խնդիրը չի վերաբերում իրենց պատասխանատվության ոլորտին և պետք է լուծվի բաշխումների/օգտագործողի միջավայրի կողմից: Բացի OpenOffice և LibreOffice գրասենյակային փաթեթներից, նմանատիպ խնդիր է հայտնաբերվել նաև Telegram-ում, Nextcloud-ում, VLC-ում, Bitcoin/Dogecoin Wallet-ում, Wireshark-ում և Mumble-ում:
Source: opennet.ru