Setelah tiga bulan pengembangan dan tujuh tahun sejak rilis signifikan terakhir, rilis korektif dari suite kantor Apache OpenOffice 4.1.10 dibentuk, yang mengusulkan 2 perbaikan. Paket siap pakai disiapkan untuk Linux, Windows dan macOS.
Rilis ini memperbaiki kerentanan (CVE-2021-30245) yang memungkinkan kode arbitrer dieksekusi di sistem saat mengklik tautan yang dirancang khusus dalam dokumen. Kerentanan tersebut disebabkan oleh kesalahan dalam pemrosesan tautan hypertext yang menggunakan protokol selain "http://" dan "https://", seperti "smb://" dan "dav://".
Misalnya, penyerang dapat menempatkan file yang dapat dieksekusi di server SMB mereka dan memasukkan link ke file tersebut ke dalam dokumen. Ketika pengguna mengklik link ini, file executable yang ditentukan akan dieksekusi tanpa peringatan. Serangan tersebut telah dibuktikan pada Windows dan Xubuntu. Demi keamanan, OpenOffice 4.1.10 menambahkan dialog tambahan yang mengharuskan pengguna mengonfirmasi operasi saat mengikuti tautan dalam dokumen.
Para peneliti yang mengidentifikasi masalah tersebut mencatat bahwa tidak hanya Apache OpenOffice, tetapi juga LibreOffice yang terpengaruh oleh masalah tersebut (CVE-2021-25631). Untuk LibreOffice, perbaikan saat ini tersedia dalam bentuk tambalan yang disertakan dalam rilis LibreOffice 7.0.5 dan 7.1.2, tetapi perbaikan masalah hanya pada platform Windows (daftar ekstensi file terlarang telah diperbarui ). Pengembang LibreOffice menolak untuk menyertakan perbaikan untuk Linux, dengan alasan bahwa masalahnya bukan tanggung jawab mereka dan harus diselesaikan di sisi distribusi/lingkungan pengguna. Selain rangkaian kantor OpenOffice dan LibreOffice, masalah serupa juga terdeteksi di Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark, dan Mumble.
Sumber: opennet.ru