Po troch mesiacoch vývoja a siedmich rokoch od posledného významného vydania sa sformovalo opravné vydanie kancelárskeho balíka Apache OpenOffice 4.1.10, ktoré navrhovalo 2 opravy. Pre Linux, Windows a macOS sú pripravené hotové balíčky.
Vydanie opravuje chybu zabezpečenia (CVE-2021-30245), ktorá umožňuje spustenie ľubovoľného kódu v systéme po kliknutí na špeciálne navrhnutý odkaz v dokumente. Chyba je spôsobená chybou pri spracovaní hypertextových odkazov, ktoré používajú iné protokoly ako „http://“ a „https://“, ako napríklad „smb://“ a „dav://“.
Útočník môže napríklad umiestniť spustiteľný súbor na svoj server SMB a vložiť naň odkaz do dokumentu. Keď používateľ klikne na tento odkaz, zadaný spustiteľný súbor sa spustí bez varovania. Útok bol demonštrovaný na Windows a Xubuntu. Kvôli bezpečnosti OpenOffice 4.1.10 pridal ďalšie dialógové okno, ktoré vyžaduje, aby používateľ potvrdil operáciu, keď nasleduje odkaz v dokumente.
Výskumníci, ktorí identifikovali problém, poznamenali, že nielen Apache OpenOffice, ale aj LibreOffice je ovplyvnený problémom (CVE-2021-25631). Pre LibreOffice je oprava momentálne k dispozícii vo forme opravy zahrnutej vo vydaniach LibreOffice 7.0.5 a 7.1.2, ale opravuje problém iba na platforme Windows (zoznam zakázaných prípon súborov bol aktualizovaný ). Vývojári LibreOffice odmietli zahrnúť opravu pre Linux s odvolaním sa na skutočnosť, že problém nebol v ich oblasti zodpovednosti a mal by byť vyriešený na strane distribúcií/používateľských prostredí. Okrem kancelárskych balíkov OpenOffice a LibreOffice bol podobný problém zistený aj v Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark a Mumble.
Zdroj: opennet.ru