Eftir þriggja mánaða þróun og sjö ár frá síðustu mikilvægu útgáfu, var gerð leiðréttingarútgáfa af skrifstofupakkanum Apache OpenOffice 4.1.10, sem lagði til 2 lagfæringar. Tilbúnir pakkar eru útbúnir fyrir Linux, Windows og macOS.
Útgáfan lagar varnarleysi (CVE-2021-30245) sem gerir kleift að keyra handahófskenndan kóða í kerfinu þegar smellt er á sérhannaðan hlekk í skjali. Varnarleysið er vegna villu í vinnslu stiklutengla sem nota aðrar samskiptareglur en "http://" og "https://", eins og "smb://" og "dav://".
Til dæmis getur árásarmaður sett keyrsluskrá á SMB netþjóninn sinn og sett tengil á hana inn í skjal. Þegar notandi smellir á þennan tengil verður tilgreind keyrsluskrá keyrð án viðvörunar. Sýnt hefur verið fram á árásina á Windows og Xubuntu. Til öryggis bætti OpenOffice 4.1.10 við viðbótarglugga sem krefst þess að notandinn staðfesti aðgerðina þegar hann fylgir hlekk í skjali.
Rannsakendur sem greindu vandamálið tóku fram að ekki aðeins Apache OpenOffice, heldur einnig LibreOffice hefur áhrif á vandamálið (CVE-2021-25631). Fyrir LibreOffice er lagfæringin nú fáanleg í formi plásturs sem fylgir útgáfum LibreOffice 7.0.5 og 7.1.2, en hún lagar vandamálið aðeins á Windows pallinum (listinn yfir bannaðar skráarviðbætur hefur verið uppfærður ). LibreOffice forritararnir neituðu að setja lagfæringu fyrir Linux með því að vitna í þá staðreynd að vandamálið væri ekki á þeirra ábyrgðarsviði og ætti að leysa það hlið dreifingar/notendaumhverfis. Til viðbótar við OpenOffice og LibreOffice skrifstofusvíturnar, fannst svipað vandamál einnig í Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark og Mumble.
Heimild: opennet.ru