Dopo tre mesi di sviluppo e sette anni dall'ultima release significativa, è stata realizzata una release correttiva della suite per ufficio Apache OpenOffice 4.1.10, che proponeva 2 fix. I pacchetti già pronti sono preparati per Linux, Windows e macOS.
La versione risolve una vulnerabilità (CVE-2021-30245) che consente l'esecuzione di codice arbitrario nel sistema quando si fa clic su un collegamento appositamente progettato in un documento. La vulnerabilità è dovuta ad un errore nell'elaborazione dei collegamenti ipertestuali che utilizzano protocolli diversi da "http://" e "https://", come "smb://" e "dav://".
Ad esempio, un utente malintenzionato può posizionare un file eseguibile sul proprio server SMB e inserire un collegamento ad esso in un documento. Quando l'utente fa clic su questo collegamento, il file eseguibile specificato verrà eseguito senza preavviso. L'attacco è stato dimostrato su Windows e Xubuntu. Per sicurezza, OpenOffice 4.1.10 ha aggiunto una finestra di dialogo aggiuntiva che richiede all'utente di confermare l'operazione quando segue un collegamento in un documento.
I ricercatori che hanno identificato il problema hanno notato che non solo Apache OpenOffice, ma anche LibreOffice è interessato dal problema (CVE-2021-25631). Per LibreOffice, il fix è attualmente disponibile sotto forma di patch inclusa nelle versioni di LibreOffice 7.0.5 e 7.1.2, ma risolve il problema solo sulla piattaforma Windows (l'elenco delle estensioni di file vietate è stato aggiornato ). Gli sviluppatori di LibreOffice si sono rifiutati di includere una correzione per Linux, adducendo il fatto che il problema non rientrava nella loro area di responsabilità e avrebbe dovuto essere risolto dal lato delle distribuzioni/ambienti utente. Un problema simile è stato riscontrato oltre che nelle suite per ufficio OpenOffice e LibreOffice anche in Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark e Mumble.
Fonte: opennet.ru