Baada ya miezi mitatu ya uundaji na miaka saba tangu kutolewa kwa mara ya mwisho kwa kiasi kikubwa, toleo dogo la Apache OpenOffice 4.1.10 office suite limetolewa, likitoa marekebisho mawili. Vifurushi vilivyokamilika viko tayari kwa ajili ya Linux, Windows и macOS.
Toleo hili hurekebisha uwezekano wa kuathiriwa (CVE-2021-30245) unaoruhusu msimbo kiholela kutekelezwa katika mfumo unapobofya kiungo kilichoundwa mahususi katika hati. Athari hii inatokana na hitilafu katika uchakataji wa viungo vya hypertext vinavyotumia itifaki zingine isipokuwa "http://" na "https://", kama vile "smb://" na "dav://".
Kwa mfano, mshambuliaji anaweza kuhifadhi faili inayoweza kutekelezwa kwenye seva yake ya SMB na kuingiza kiungo ndani yake kwenye hati. Mtumiaji anapobofya kiungo hicho, faili inayoweza kutekelezwa itatekelezwa bila onyo. Shambulio hilo lilionyeshwa katika Windows na XubuntuKwa madhumuni ya usalama, OpenOffice 4.1.10 iliongeza kisanduku cha mazungumzo cha ziada kinachomhitaji mtumiaji kuthibitisha operesheni anapofuata kiungo kwenye hati.
Watafiti waliobaini tatizo hilo walibainisha kuwa tatizo hilo haliathiri tu Apache OpenOffice bali pia LibreOffice (CVE-2021-25631). Kwa LibreOffice, suluhisho linapatikana kwa sasa katika mfumo wa kiraka kilichojumuishwa katika matoleo ya LibreOffice 7.0.5 na 7.1.2, lakini linashughulikia tatizo hilo tu kwenye mfumo. Windows (orodha iliyosasishwa ya viendelezi vya faili vilivyopigwa marufuku). Rekebisha kwa Linux Wasanidi programu wa LibreOffice walikataa kuiwezesha, wakisema kwamba suala hilo halikuwa jukumu lao na linapaswa kushughulikiwa katika mazingira ya usambazaji/watumiaji. Mbali na vyumba vya ofisi vya OpenOffice na LibreOffice, tatizo kama hilo pia limegunduliwa katika Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark, na Mumble.
Chanzo: opennet.ru
