Үш айлық әзірлеуден және соңғы ірі шығарылымнан бері жеті жылдан кейін Apache OpenOffice 4.1.10 кеңсе жиынтығының кішігірім шығарылымы шығарылды, онда екі түзету ұсынылды. Дайын пакеттер дайын Linux, Windows и macOS.
Шығарылым құжаттағы арнайы жасалған сілтемені басқан кезде жүйеде еркін кодты орындауға мүмкіндік беретін осалдықты (CVE-2021-30245) түзетеді. Осалдық «smb://» және «dav://» сияқты «http://» және «https://» протоколдарынан басқа хаттамаларды пайдаланатын гипермәтіндік сілтемелерді өңдеудегі қатеге байланысты.
Мысалы, шабуылдаушы өзінің SMB серверінде орындалатын файлды орналастырып, оған сілтемені құжатқа енгізе алады. Пайдаланушы сілтемені басқан кезде, орындалатын файл ескертусіз орындалады. Шабуыл ... көрсетілген. Windows және XubuntuҚауіпсіздік мақсатында OpenOffice 4.1.10 нұсқасында құжаттағы сілтемені орындаған кезде пайдаланушыдан операцияны растауды талап ететін қосымша диалогтық терезе қосылды.
Мәселені анықтаған зерттеушілер мәселенің тек Apache OpenOffice-ке ғана емес, сонымен қатар LibreOffice-ке (CVE-2021-25631) де әсер ететінін атап өтті. LibreOffice үшін түзету қазіргі уақытта LibreOffice 7.0.5 және 7.1.2 нұсқаларына кіретін патч түрінде қолжетімді, бірақ ол мәселені тек платформада ғана шешеді. Windows (тыйым салынған файл кеңейтімдерінің жаңартылған тізімі). Түзету Linux LibreOffice әзірлеушілері мәселенің олардың міндеті емес екенін және дистрибутивтер/пайдаланушы орталарында шешілуі керектігін айтып, оны қосудан бас тартты. OpenOffice және LibreOffice кеңсе жиынтықтарынан басқа, ұқсас мәселе Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark және Mumble қызметтерінде де анықталды.
Ақпарат көзі: opennet.ru
