Wara tliet xhur ta 'żvilupp u seba' snin mill-aħħar rilaxx sinifikanti, ġiet iffurmata rilaxx korrettiv tal-suite tal-uffiċċju Apache OpenOffice 4.1.10, li ppropona 2 soluzzjonijiet. Pakketti lesti huma ppreparati għal Linux, Windows u macOS.
Ir-rilaxx jiffissa vulnerabbiltà (CVE-2021-30245) li tippermetti li jiġi esegwit kodiċi arbitrarju fis-sistema meta tikklikkja fuq link iddisinjat apposta f'dokument. Il-vulnerabbiltà hija dovuta għal żball fl-ipproċessar ta' links ipertesti li jużaw protokolli minbarra "http://" u "https://", bħal "smb://" u "dav://".
Pereżempju, attakkant jista' jpoġġi fajl eżekutibbli fuq is-server SMB tiegħu u jdaħħal link għalih f'dokument. Meta l-utent jikklikkja fuq din il-link, il-fajl eżekutibbli speċifikat jiġi esegwit mingħajr twissija. L-attakk intwera fuq Windows u Xubuntu. Għas-sigurtà, OpenOffice 4.1.10 żied djalogu addizzjonali li jeħtieġ li l-utent jikkonferma l-operazzjoni meta jsegwi link f'dokument.
Ir-riċerkaturi li identifikaw il-problema nnutaw li mhux biss Apache OpenOffice, iżda wkoll LibreOffice huwa affettwat mill-problema (CVE-2021-25631). Għal LibreOffice, it-tiswija hija attwalment disponibbli fil-forma ta’ garża inkluża fir-rilaxxi ta’ LibreOffice 7.0.5 u 7.1.2, iżda tirranġa l-problema biss fuq il-pjattaforma tal-Windows (il-lista ta’ estensjonijiet ta’ fajls ipprojbiti ġiet aġġornata ). L-iżviluppaturi tal-LibreOffice irrifjutaw li jinkludu soluzzjoni għal Linux, u semma l-fatt li l-problema ma kinitx fil-qasam tar-responsabbiltà tagħhom u għandha tiġi solvuta min-naħa tad-distribuzzjonijiet/ambjenti tal-utenti. Minbarra l-OpenOffice u LibreOffice suites ta 'l-uffiċċju, problema simili nstabet ukoll f'Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark u Mumble.
Sors: opennet.ru