Po trzech miesiącach rozwoju i siedmiu latach od ostatniej znaczącej wersji powstała wersja korygująca pakietu biurowego Apache OpenOffice 4.1.10, w której zaproponowano 2 poprawki. Gotowe pakiety przygotowane są dla systemu Linux, Windows i macOS.
Wydanie naprawia lukę (CVE-2021-30245), która umożliwia wykonanie dowolnego kodu w systemie po kliknięciu specjalnie zaprojektowanego łącza w dokumencie. Luka wynika z błędu w przetwarzaniu łączy hipertekstowych korzystających z protokołów innych niż „http://” i „https://”, takich jak „smb://” i „dav://”.
Na przykład osoba atakująca może umieścić plik wykonywalny na swoim serwerze SMB i wstawić łącze do niego do dokumentu. Kiedy użytkownik kliknie to łącze, określony plik wykonywalny zostanie wykonany bez ostrzeżenia. Atak został zademonstrowany na Windowsie i Xubuntu. Ze względów bezpieczeństwa w OpenOffice 4.1.10 dodano dodatkowe okno dialogowe, które wymaga od użytkownika potwierdzenia operacji po kliknięciu łącza w dokumencie.
Badacze, którzy zidentyfikowali problem, zauważyli, że problem dotyczy nie tylko Apache OpenOffice, ale także LibreOffice (CVE-2021-25631). Dla LibreOffice poprawka jest obecnie dostępna w postaci łatki zawartej w wydaniach LibreOffice 7.0.5 i 7.1.2, ale rozwiązuje problem tylko na platformie Windows (zaktualizowano listę zabronionych rozszerzeń plików ). Twórcy LibreOffice odmówili dołączenia poprawki dla Linuksa, powołując się na fakt, że problem nie leży w ich obszarze odpowiedzialności i powinien zostać rozwiązany po stronie dystrybucji/środowisk użytkownika. Oprócz pakietów biurowych OpenOffice i LibreOffice podobny problem wykryto także w Telegramie, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark i Mumble.
Źródło: opennet.ru