Etter tre måneder med utvikling og syv år siden den siste betydelige utgivelsen, ble det dannet en korrigerende utgivelse av kontorpakken Apache OpenOffice 4.1.10, som foreslo 2 rettelser. Ferdige pakker er forberedt for Linux, Windows og macOS.
Utgivelsen fikser en sårbarhet (CVE-2021-30245) som gjør at vilkårlig kode kan kjøres i systemet når du klikker på en spesialdesignet lenke i et dokument. Sårbarheten skyldes en feil i behandlingen av hypertekstlenker som bruker andre protokoller enn «http://» og «https://», slik som «smb://» og «dav://».
For eksempel kan en angriper plassere en kjørbar fil på SMB-serveren sin og sette inn en kobling til den i et dokument. Når brukeren klikker på denne lenken, vil den angitte kjørbare filen kjøres uten forvarsel. Angrepet har blitt demonstrert på Windows og Xubuntu. For sikkerhets skyld har OpenOffice 4.1.10 lagt til en ekstra dialogboks som krever at brukeren bekrefter operasjonen når han følger en lenke i et dokument.
Forskerne som identifiserte problemet bemerket at ikke bare Apache OpenOffice, men også LibreOffice er berørt av problemet (CVE-2021-25631). For LibreOffice er reparasjonen for øyeblikket tilgjengelig i form av en oppdatering inkludert i utgivelsene av LibreOffice 7.0.5 og 7.1.2, men den løser problemet bare på Windows-plattformen (listen over forbudte filutvidelser er oppdatert ). LibreOffice-utviklerne nektet å inkludere en løsning for Linux, med henvisning til det faktum at problemet ikke var innenfor deres ansvarsområde og burde løses på siden av distribusjoner/brukermiljøer. I tillegg til kontorpakkene OpenOffice og LibreOffice, ble et lignende problem også oppdaget i Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark og Mumble.
Kilde: opennet.ru