Po trijų mėnesių kūrimo ir septynerių metų nuo paskutinio reikšmingo leidimo buvo sukurta korekcinė biuro rinkinio Apache OpenOffice 4.1.10 versija, kurioje buvo pasiūlyti 2 pataisymai. Paruošti paketai Linux, Windows ir macOS.
Leidimas pataiso pažeidžiamumą (CVE-2021-30245), leidžiantį sistemoje vykdyti savavališką kodą spustelėjus specialiai sukurtą nuorodą dokumente. Pažeidžiamumas atsirado dėl klaidos apdorojant hiperteksto nuorodas, kuriose naudojami kiti protokolai nei „http://“ ir „https://“, pvz., „smb://“ ir „dav://“.
Pavyzdžiui, užpuolikas gali įdėti vykdomąjį failą į savo SMB serverį ir įterpti nuorodą į jį į dokumentą. Kai vartotojas spusteli šią nuorodą, nurodytas vykdomasis failas bus paleistas be įspėjimo. Išpuolis buvo parodytas „Windows“ ir „Xubuntu“. Saugumo sumetimais „OpenOffice 4.1.10“ pridėjo papildomą dialogo langą, kuriame naudotojas turi patvirtinti operaciją, kai seka nuorodą dokumente.
Problemą nustatę mokslininkai pažymėjo, kad problema paveikė ne tik „Apache OpenOffice“, bet ir „LibreOffice“ (CVE-2021-25631). „LibreOffice“ pataisa šiuo metu yra pataisa, įtraukta į LibreOffice 7.0.5 ir 7.1.2 leidimus, tačiau ji išsprendžia problemą tik „Windows“ platformoje (draudžiamų failų plėtinių sąrašas buvo atnaujintas ). „LibreOffice“ kūrėjai atsisakė įtraukti „Linux“ pataisą, motyvuodami tuo, kad problema nėra jų atsakomybės srityje ir turėtų būti išspręsta platinimų / naudotojų aplinkų pusėje. Be OpenOffice ir LibreOffice biuro rinkinių, panaši problema taip pat buvo aptikta Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark ir Mumble.
Šaltinis: opennet.ru