Na drie maanden ontwikkeling en zeven jaar sinds de laatste belangrijke release, werd een corrigerende release van het kantoorpakket Apache OpenOffice 4.1.10 gevormd, waarin twee oplossingen werden voorgesteld. Kant-en-klare pakketten zijn voorbereid voor Linux, Windows en macOS.
De release repareert een kwetsbaarheid (CVE-2021-30245) waardoor willekeurige code in het systeem kan worden uitgevoerd wanneer op een speciaal ontworpen link in een document wordt geklikt. Het beveiligingslek is te wijten aan een fout bij de verwerking van hypertextlinks die andere protocollen gebruiken dan "http://" en "https://", zoals "smb://" en "dav://".
Een aanvaller kan bijvoorbeeld een uitvoerbaar bestand op zijn SMB-server plaatsen en een link ernaartoe in een document invoegen. Wanneer de gebruiker op deze link klikt, wordt het opgegeven uitvoerbare bestand zonder waarschuwing uitgevoerd. De aanval is gedemonstreerd op Windows en Xubuntu. Voor de veiligheid heeft OpenOffice 4.1.10 een extra dialoogvenster toegevoegd waarin de gebruiker de handeling moet bevestigen wanneer hij een koppeling in een document volgt.
De onderzoekers die het probleem identificeerden, merkten op dat niet alleen Apache OpenOffice, maar ook LibreOffice door het probleem wordt getroffen (CVE-2021-25631). Voor LibreOffice is de oplossing momenteel beschikbaar in de vorm van een patch die is opgenomen in de releases van LibreOffice 7.0.5 en 7.1.2, maar deze lost het probleem alleen op op het Windows-platform (de lijst met verboden bestandsextensies is bijgewerkt ). De LibreOffice-ontwikkelaars weigerden een oplossing voor Linux op te nemen, daarbij verwijzend naar het feit dat het probleem niet binnen hun verantwoordelijkheidsgebied lag en opgelost zou moeten worden aan de kant van distributies/gebruikersomgevingen. Naast de kantoorsuites OpenOffice en LibreOffice werd een soortgelijk probleem ook gedetecteerd in Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark en Mumble.
Bron: opennet.ru