Үш айлық әзірлеуден кейін және соңғы маңызды шығарылымнан бері жеті жылдан кейін 4.1.10 түзетуді ұсынған Apache OpenOffice 2 кеңсе жиынтығының түзеткіш шығарылымы құрылды. Дайын пакеттер Linux, Windows және macOS үшін дайындалған.
Шығарылым құжаттағы арнайы жасалған сілтемені басқан кезде жүйеде еркін кодты орындауға мүмкіндік беретін осалдықты (CVE-2021-30245) түзетеді. Осалдық «smb://» және «dav://» сияқты «http://» және «https://» протоколдарынан басқа хаттамаларды пайдаланатын гипермәтіндік сілтемелерді өңдеудегі қатеге байланысты.
Мысалы, шабуылдаушы орындалатын файлды өзінің SMB серверіне орналастыра алады және оған сілтемені құжатқа кірістіреді. Пайдаланушы осы сілтемені басқан кезде, көрсетілген орындалатын файл ескертусіз орындалады. Шабуыл Windows және Xubuntu жүйелерінде көрсетілді. Қауіпсіздік үшін OpenOffice 4.1.10 құжаттағы сілтемені орындаған кезде пайдаланушыдан операцияны растауды талап ететін қосымша диалогты қосты.
Мәселені анықтаған зерттеушілер мәселеге тек Apache OpenOffice ғана емес, сонымен қатар LibreOffice де әсер ететінін атап өтті (CVE-2021-25631). LibreOffice үшін түзету қазіргі уақытта LibreOffice 7.0.5 және 7.1.2 шығарылымдарына енгізілген патч түрінде қол жетімді, бірақ ол мәселені тек Windows платформасында түзетеді (тыйым салынған файл кеңейтімдерінің тізімі жаңартылды. ). LibreOffice әзірлеушілері ақаулық олардың жауапкершілік аймағында емес және дистрибутивтер/пайдаланушы орталары жағында шешілуі керек екенін алға тартып, Linux жүйесіне түзетуді қосудан бас тартты. OpenOffice және LibreOffice кеңсе жинақтарынан басқа, ұқсас мәселе Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark және Mumble-да да анықталды.
Ақпарат көзі: opennet.ru