ٽن مهينن جي ترقي ۽ ستن سالن کان پوءِ آخري اهم رليز کان پوءِ، آفيس سوٽ اپاچي اوپن آفس 4.1.10 جو هڪ اصلاحي رليز ٺهي ويو، جنهن ۾ 2 سڌارا تجويز ڪيا ويا. لينڪس، ونڊوز ۽ macOS لاءِ تيار ڪيل پيڪيجز تيار ڪيا ويا آهن.
رليز هڪ خطري کي حل ڪري ٿو (CVE-2021-30245) جيڪو هڪ دستاويز ۾ خاص طور تي ٺهيل لنڪ تي ڪلڪ ڪرڻ وقت سسٽم ۾ صوابديدي ڪوڊ کي عمل ڪرڻ جي اجازت ڏئي ٿو. هي خطرو هائپر ٽيڪسٽ لنڪس جي پروسيسنگ ۾ هڪ غلطي جي ڪري آهي جيڪي "http://" ۽ "https://" کان سواءِ پروٽوڪول استعمال ڪن ٿا، جهڙوڪ "smb://" ۽ "dav://".
مثال طور، هڪ حملو ڪندڙ پنهنجي SMB سرور تي هڪ قابل عمل فائل رکي سگهي ٿو ۽ ان کي هڪ دستاويز ۾ هڪ لنڪ داخل ڪري سگهي ٿو. جڏهن صارف هن لنڪ تي ڪلڪ ڪندو، مخصوص قابل عمل فائل بغير ڊيڄاريندڙ تي عمل ڪيو ويندو. حملي جو مظاهرو ڪيو ويو آهي ونڊوز ۽ Xubuntu تي. سيڪيورٽي لاءِ، OpenOffice 4.1.10 هڪ اضافي ڊائلاگ شامل ڪيو آهي جيڪو صارف کي ضرورت آهي آپريشن جي تصديق ڪرڻ لاءِ جڏهن ڪنهن دستاويز ۾ لنڪ جي پيروي ڪئي وڃي.
محقق جن ان مسئلي جي نشاندهي ڪئي انهن نوٽ ڪيو ته نه رڳو Apache OpenOffice، پر LibreOffice پڻ ان مسئلي کان متاثر آهي (CVE-2021-25631). LibreOffice لاءِ، فيڪس في الحال هڪ پيچ جي صورت ۾ موجود آهي جيڪا LibreOffice 7.0.5 ۽ 7.1.2 جي رليز ۾ شامل آهي، پر اهو مسئلو حل ڪري ٿو صرف ونڊوز پليٽ فارم تي (ممنوع فائل ايڪسٽينشن جي لسٽ کي اپڊيٽ ڪيو ويو آهي. ). LibreOffice ڊولپرز لينڪس لاءِ فيڪس شامل ڪرڻ کان انڪار ڪري ڇڏيو، ان حقيقت جو حوالو ڏيندي ته مسئلو سندن ذميواري واري علائقي ۾ نه هو ۽ ان کي تقسيم/صارف ماحول جي پاسي تي حل ڪيو وڃي. OpenOffice ۽ LibreOffice آفيس سوٽ کان علاوه، هڪ ساڳيو مسئلو ٽيليگرام، Nextcloud، VLC، Bitcoin/Dogecoin Wallet، Wireshark ۽ Mumble ۾ پڻ معلوم ڪيو ويو.
جو ذريعو: opennet.ru