Po treh mesecih razvoja in sedmih letih od zadnje pomembne izdaje je nastala popravljalna izdaja pisarniškega paketa Apache OpenOffice 4.1.10, ki je predlagala 2 popravka. Za Linux, Windows in macOS so pripravljeni že pripravljeni paketi.
Izdaja odpravlja ranljivost (CVE-2021-30245), ki omogoča izvajanje poljubne kode v sistemu, ko kliknete na posebej oblikovano povezavo v dokumentu. Ranljivost je posledica napake pri obdelavi hiperbesedilnih povezav, ki uporabljajo protokole, ki niso "http://" in "https://", kot sta "smb://" in "dav://".
Napadalec lahko na primer postavi izvršljivo datoteko na svoj strežnik SMB in v dokument vstavi povezavo do nje. Ko uporabnik klikne to povezavo, se bo navedena izvedljiva datoteka zagnala brez opozorila. Napad je bil prikazan v sistemih Windows in Xubuntu. Zaradi varnosti je OpenOffice 4.1.10 dodal dodatno pogovorno okno, ki zahteva, da uporabnik potrdi operacijo, ko sledi povezavi v dokumentu.
Raziskovalci, ki so odkrili težavo, so ugotovili, da težava ne vpliva le na Apache OpenOffice, ampak tudi na LibreOffice (CVE-2021-25631). Za LibreOffice je popravek trenutno na voljo v obliki popravka, ki je vključen v izdaji LibreOffice 7.0.5 in 7.1.2, vendar odpravlja težavo samo na platformi Windows (seznam prepovedanih končnic datotek je posodobljen ). Razvijalci LibreOffice so zavrnili vključitev popravka za Linux, navajajoč dejstvo, da težava ni v njihovem področju odgovornosti in jo je treba rešiti na strani distribucij/uporabniških okolij. Poleg pisarniških paketov OpenOffice in LibreOffice so podobno težavo zaznali tudi v Telegramu, Nextcloudu, VLC, Bitcoin/Dogecoin Walletu, Wiresharku in Mumbleu.
Vir: opennet.ru