ဖွံ့ဖြိုးတိုးတက်မှုသုံးလနှင့် နောက်ဆုံးသိသာထင်ရှားသောထုတ်ဝေမှုနောက်ပိုင်း ခုနစ်နှစ်အကြာတွင်၊ ပြင်ဆင်ချက် 4.1.10 ခုကို အဆိုပြုထားသည့် Office suite Apache OpenOffice 2 ၏ မှန်ကန်သောဖြန့်ချိမှုကို ဖွဲ့စည်းခဲ့သည်။ အဆင်သင့်လုပ်ထားသော ပက်ကေ့ဂျ်များကို Linux၊ Windows နှင့် macOS အတွက် ပြင်ဆင်ထားပါသည်။
စာရွက်စာတမ်းတစ်ခုရှိ အထူးဒီဇိုင်းထုတ်ထားသောလင့်ခ်ကို နှိပ်သည့်အခါ စနစ်အတွင်း မထင်မှတ်သောကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် အားနည်းချက် (CVE-2021-30245) ကို ပြင်ဆင်ပေးပါသည်။ အားနည်းချက်မှာ "http://" နှင့် "https://" ကဲ့သို့သော "smb://" နှင့် "dav://" ကဲ့သို့သော ပရိုတိုကောများကို အသုံးပြုသည့် ဟိုက်ပါစာသားလင့်ခ်များ လုပ်ဆောင်ရာတွင် အမှားအယွင်းတစ်ခုကြောင့် ဖြစ်သည်။
ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူတစ်ဦးသည် ၎င်းတို့၏ SMB ဆာဗာတွင် executable ဖိုင်တစ်ခုကို ထားရှိနိုင်ပြီး ၎င်းနှင့် လင့်ခ်တစ်ခုကို စာရွက်စာတမ်းတစ်ခုတွင် ထည့်သွင်းနိုင်သည်။ အသုံးပြုသူသည် ဤလင့်ခ်ကို နှိပ်လိုက်သောအခါ၊ သတ်မှတ်ထားသော လုပ်ဆောင်နိုင်သော ဖိုင်ကို သတိပေးခြင်းမရှိဘဲ လုပ်ဆောင်သွားပါမည်။ တိုက်ခိုက်မှုကို Windows နှင့် Xubuntu တွင် သရုပ်ပြထားသည်။ လုံခြုံရေးအတွက်၊ OpenOffice 4.1.10 သည် စာရွက်စာတမ်းတစ်ခုရှိ လင့်ခ်တစ်ခုအား လိုက်လျှောက်သောအခါတွင် အသုံးပြုသူမှ လုပ်ဆောင်ချက်ကို အတည်ပြုရန် လိုအပ်သည့် နောက်ထပ် ဒိုင်ယာလော့ဂ်တစ်ခုကို ထည့်သွင်းခဲ့သည်။
ပြဿနာကို ဖော်ထုတ်ခဲ့သော သုတေသီများသည် Apache OpenOffice သာမက LibreOffice ကိုပါ ပြဿနာ (CVE-2021-25631) မှ သက်ရောက်မှုရှိကြောင်း မှတ်သားခဲ့သည်။ LibreOffice အတွက်၊ ပြင်ဆင်ချက်ကို LibreOffice 7.0.5 နှင့် 7.1.2 ထုတ်ဝေမှုများတွင် ပါဝင်သော patch ပုံစံဖြင့် လောလောဆယ် ရနိုင်သော်လည်း ၎င်းသည် ပြဿနာကို Windows ပလပ်ဖောင်းတွင်သာ ဖြေရှင်းသည် (တားမြစ်ထားသော ဖိုင်တိုးချဲ့မှုများစာရင်းကို အပ်ဒိတ်လုပ်ထားသည်။ ) LibreOffice ဆော့ဖ်ဝဲရေးသားသူများသည် ပြဿနာသည် ၎င်းတို့၏တာဝန်ဝတ္တရားတွင်မဟုတ်ကြောင်းနှင့် ဖြန့်ဝေမှုများ/အသုံးပြုသူပတ်ဝန်းကျင်တွင် ဖြေရှင်းသင့်သည်ဟူသောအချက်ကို ကိုးကားပြီး Linux အတွက် ပြင်ဆင်မှုတစ်ခုထည့်သွင်းရန် ငြင်းဆိုခဲ့သည်။ OpenOffice နှင့် LibreOffice ရုံးအစုံများအပြင် Telegram၊ Nextcloud၊ VLC၊ Bitcoin/Dogecoin Wallet၊ Wireshark နှင့် Mumble တွင်လည်း အလားတူပြဿနာကို တွေ့ရှိခဲ့သည်။
source: opennet.ru