Pas tre muajsh zhvillimi dhe shtatë vjetësh nga lëshimi i fundit i rëndësishëm, u formua një version korrigjues i paketës së zyrës Apache OpenOffice 4.1.10, i cili propozoi 2 rregullime. Paketat e gatshme janë përgatitur për Linux, Windows dhe macOS.
Publikimi rregullon një dobësi (CVE-2021-30245) që lejon ekzekutimin e kodit arbitrar në sistem kur klikoni në një lidhje të krijuar posaçërisht në një dokument. Dobësia është për shkak të një gabimi në përpunimin e lidhjeve të hipertekstit që përdorin protokolle të ndryshme nga "http://" dhe "https://", si "smb://" dhe "dav://".
Për shembull, një sulmues mund të vendosë një skedar të ekzekutueshëm në serverin e tij SMB dhe të fusë një lidhje me të në një dokument. Kur përdoruesi klikon në këtë lidhje, skedari i ekzekutueshëm i specifikuar do të ekzekutohet pa paralajmërim. Sulmi është demonstruar në Windows dhe Xubuntu. Për siguri, OpenOffice 4.1.10 shtoi një dialog shtesë që kërkon që përdoruesi të konfirmojë operacionin kur ndjek një lidhje në një dokument.
Studiuesit që identifikuan problemin vunë re se jo vetëm Apache OpenOffice, por edhe LibreOffice është prekur nga problemi (CVE-2021-25631). Për LibreOffice, rregullimi është aktualisht i disponueshëm në formën e një patch të përfshirë në versionet e LibreOffice 7.0.5 dhe 7.1.2, por ai rregullon problemin vetëm në platformën Windows (lista e shtesave të skedarëve të ndaluar është përditësuar ). Zhvilluesit e LibreOffice refuzuan të përfshinin një rregullim për Linux, duke përmendur faktin se problemi nuk ishte në fushën e tyre të përgjegjësisë dhe duhet të zgjidhej në anën e shpërndarjeve/mjediseve të përdoruesit. Përveç paketave të zyrës OpenOffice dhe LibreOffice, një problem i ngjashëm u zbulua edhe në Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark dhe Mumble.
Burimi: opennet.ru