Efter tre månaders utveckling och sju år sedan den senaste betydande utgåvan, bildades en korrigerande utgåva av kontorssviten Apache OpenOffice 4.1.10, som föreslog två korrigeringar. Färdiga paket är förberedda för Linux, Windows och macOS.
Utgåvan åtgärdar en sårbarhet (CVE-2021-30245) som gör att godtycklig kod kan exekveras i systemet när man klickar på en specialdesignad länk i ett dokument. Sårbarheten beror på ett fel i behandlingen av hypertextlänkar som använder andra protokoll än "http://" och "https://", som "smb://" och "dav://".
Till exempel kan en angripare placera en körbar fil på sin SMB-server och infoga en länk till den i ett dokument. När användaren klickar på denna länk kommer den angivna körbara filen att köras utan förvarning. Attacken har demonstrerats på Windows och Xubuntu. Av säkerhetsskäl har OpenOffice 4.1.10 lagt till en ytterligare dialogruta som kräver att användaren bekräftar åtgärden när han följer en länk i ett dokument.
Forskarna som identifierade problemet noterade att inte bara Apache OpenOffice, utan även LibreOffice påverkas av problemet (CVE-2021-25631). För LibreOffice är korrigeringen för närvarande tillgänglig i form av en patch som ingår i utgåvorna av LibreOffice 7.0.5 och 7.1.2, men den löser problemet endast på Windows-plattformen (listan över förbjudna filtillägg har uppdaterats ). LibreOffice-utvecklarna vägrade att inkludera en fix för Linux, med hänvisning till det faktum att problemet inte låg inom deras ansvarsområde och borde lösas på sidan av distributioner/användarmiljöer. Utöver kontorssviterna OpenOffice och LibreOffice upptäcktes ett liknande problem även i Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark och Mumble.
Källa: opennet.ru