Гурван сарын хөгжүүлэлтийн дараа, хамгийн сүүлийн чухал хувилбар гарснаас хойш долоон жилийн дараа Apache OpenOffice 4.1.10 оффисын иж бүрдлийг засч залруулах хувилбар гарсан бөгөөд энэ нь 2 засварыг санал болгосон. Бэлэн багцуудыг Linux, Windows болон macOS-д зориулан бэлтгэсэн.
Уг хувилбар нь баримт бичгийн тусгайлан зохион бүтээсэн холбоос дээр дарахад системд дурын кодыг ажиллуулах боломжийг олгодог эмзэг байдлыг (CVE-2021-30245) зассан. Энэ эмзэг байдал нь "smb://", "dav://" зэрэг "http://" болон "https://"-ээс өөр протоколуудыг ашигладаг гипертекст холбоосыг боловсруулах явцад гарсан алдаатай холбоотой юм.
Жишээлбэл, халдагчид гүйцэтгэх боломжтой файлыг өөрийн SMB сервер дээр байрлуулж, түүний холбоосыг баримт бичигт оруулах боломжтой. Хэрэглэгч энэ холбоос дээр дарахад заасан гүйцэтгэгдэх файлыг анхааруулгагүйгээр гүйцэтгэх болно. Энэхүү халдлагыг Windows болон Xubuntu дээр харуулсан. Аюулгүй байдлын үүднээс OpenOffice 4.1.10 нь баримт бичигт байгаа холбоосыг дагаж үйлдлээ баталгаажуулахыг шаарддаг нэмэлт харилцах цонхыг нэмсэн.
Асуудлыг тодорхойлсон судлаачид энэ асуудалд зөвхөн Apache OpenOffice төдийгүй LibreOffice (CVE-2021-25631) өртөж байгааг тэмдэглэжээ. LibreOffice-ийн хувьд уг засварыг одоогоор LibreOffice 7.0.5 ба 7.1.2 хувилбаруудад оруулсан засвар хэлбэрээр ашиглах боломжтой боловч зөвхөн Windows платформ дээр асуудлыг засдаг (хориотой файлын өргөтгөлүүдийн жагсаалт шинэчлэгдсэн) ). LibreOffice хөгжүүлэгчид Линукс-д зориулсан засвар оруулахаас татгалзаж, асуудал нь тэдний хариуцлагын хүрээнд биш бөгөөд түгээлтийн/хэрэглэгчийн орчинд шийдэгдэх ёстой гэж үзжээ. OpenOffice болон LibreOffice оффисын иж бүрдэлүүдээс гадна Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark, Mumble-д мөн ижил төстэй асуудал илэрсэн.
Эх сурвалж: opennet.ru