După trei luni de dezvoltare și șapte ani de la ultima lansare semnificativă, s-a format o versiune corectivă a suitei de birou Apache OpenOffice 4.1.10, care propunea 2 remedieri. Pachetele gata făcute sunt pregătite pentru Linux, Windows și macOS.
Versiunea remediază o vulnerabilitate (CVE-2021-30245) care permite executarea unui cod arbitrar în sistem atunci când faceți clic pe un link special conceput dintr-un document. Vulnerabilitatea se datorează unei erori în procesarea legăturilor hipertext care utilizează alte protocoale decât „http://” și „https://”, precum „smb://” și „dav://”.
De exemplu, un atacator poate plasa un fișier executabil pe serverul său SMB și poate introduce un link către acesta într-un document. Când utilizatorul face clic pe acest link, fișierul executabil specificat va fi executat fără avertisment. Atacul a fost demonstrat pe Windows și Xubuntu. Pentru securitate, OpenOffice 4.1.10 a adăugat un dialog suplimentar care solicită utilizatorului să confirme operația atunci când urmărește un link dintr-un document.
Cercetătorii care au identificat problema au remarcat că nu numai Apache OpenOffice, ci și LibreOffice sunt afectate de problemă (CVE-2021-25631). Pentru LibreOffice, remedierea este disponibilă în prezent sub forma unui patch inclus în versiunile LibreOffice 7.0.5 și 7.1.2, dar rezolvă problema doar pe platforma Windows (lista extensiilor de fișiere interzise a fost actualizată ). Dezvoltatorii LibreOffice au refuzat să includă o remediere pentru Linux, invocând faptul că problema nu era în zona lor de responsabilitate și ar trebui rezolvată pe partea distribuțiilor/mediilor de utilizator. Pe lângă suitele de birou OpenOffice și LibreOffice, o problemă similară a fost detectată și în Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark și Mumble.
Sursa: opennet.ru