Saatos tilu bulan pangwangunan sareng tujuh taun ti saprak sékrési signifikan terakhir, sékrési koréksi tina suite kantor Apache OpenOffice 4.1.10 kabentuk, anu ngusulkeun 2 perbaikan. Bungkusan anu siap-siap disiapkeun pikeun Linux, Windows sareng macOS.
Pelepasan éta ngalereskeun kerentanan (CVE-2021-30245) anu ngamungkinkeun kode sawenang dieksekusi dina sistem nalika ngaklik tautan anu dirarancang khusus dina dokumen. Kerentanan ieu disababkeun ku kasalahan dina ngolah tautan hiperteks anu nganggo protokol sanés "http://" sareng "https://", sapertos "smb: //" sareng "dav: //".
Salaku conto, panyerang tiasa nempatkeun file anu tiasa dieksekusi dina server SMB na sareng nyelapkeun tautan kana kana dokumen. Nalika pangguna ngaklik tautan ieu, file anu tiasa dieksekusi bakal dieksekusi tanpa peringatan. Serangan éta parantos ditingalikeun dina Windows sareng Xubuntu. Pikeun kaamanan, OpenOffice 4.1.10 nambihan dialog tambahan anu meryogikeun pangguna pikeun mastikeun operasi nalika nuturkeun tautan dina dokumen.
Panaliti anu ngaidentipikasi masalahna nyatakeun yén henteu ngan ukur Apache OpenOffice, tapi ogé LibreOffice kapangaruhan ku masalah (CVE-2021-25631). Pikeun LibreOffice, perbaikan ayeuna sayogi dina bentuk patch anu kalebet dina sékrési LibreOffice 7.0.5 sareng 7.1.2, tapi ngalereskeun masalah ngan ukur dina platform Windows (daptar ekstensi file anu dilarang parantos diropéa. ). Pamekar LibreOffice nampik ngalebetkeun perbaikan pikeun Linux, nyatakeun kanyataan yén masalahna henteu aya dina tanggung jawabna sareng kedah direngsekeun dina sisi distribusi / lingkungan pangguna. Salian suite kantor OpenOffice sareng LibreOffice, masalah anu sami ogé dideteksi dina Telegram, Nextcloud, VLC, Bitcoin / Dogecoin Wallet, Wireshark sareng Mumble.
sumber: opennet.ru