Пас аз се моҳи рушд ва ҳафт сол пас аз нашри охирини муҳим, версияи ислоҳии пакети офиси Apache OpenOffice 4.1.10 таҳия карда шуд, ки 2 ислоҳро пешниҳод кард. Бастаҳои тайёр барои Linux, Windows ва macOS омода карда шудаанд.
Нашрия осебпазириро (CVE-2021-30245) ислоҳ мекунад, ки имкон медиҳад коди худсарона дар система ҳангоми клик кардани истиноди махсус тарҳрезишуда дар ҳуҷҷат иҷро карда шавад. Ин осебпазирӣ ба иштибоҳ дар коркарди истинодҳои гиперматнӣ вобаста аст, ки протоколҳои ғайр аз "http://" ва "https://", ба мисли "smb://" ва "dav://" истифода мебаранд.
Масалан, ҳамлакунанда метавонад файли иҷрошавандаро дар сервери SMB-и худ ҷойгир кунад ва истиноди онро ба ҳуҷҷат гузорад. Вақте ки корбар ин истинодро клик мекунад, файли иҷрошавандаи муайяншуда бидуни огоҳӣ иҷро карда мешавад. Ҳамла дар Windows ва Xubuntu нишон дода шудааст. Барои бехатарӣ, OpenOffice 4.1.10 муколамаи иловагиро илова кард, ки аз корбар талаб мекунад, ки амалиётро ҳангоми пайравӣ аз истиноди ҳуҷҷат тасдиқ кунад.
Муҳаққиқоне, ки мушкилотро муайян кардаанд, қайд карданд, ки на танҳо ба Apache OpenOffice, балки ба LibreOffice низ таъсир мерасонад (CVE-2021-25631). Барои LibreOffice, ислоҳ дар айни замон дар шакли часпак мавҷуд аст, ки ба нашрҳои LibreOffice 7.0.5 ва 7.1.2 дохил карда шудааст, аммо он мушкилотро танҳо дар платформаи Windows ҳал мекунад (рӯйхати васеъшавии файлҳои манъшуда нав карда шудааст) ). Таҳиягарони LibreOffice аз ворид кардани ислоҳи Linux худдорӣ карданд, бо далели он, ки мушкилот дар соҳаи масъулияти онҳо набуда ва бояд дар паҳлӯи дистрибюторҳо/муҳитҳои корбар ҳал карда шаванд. Илова ба пакетҳои офиси OpenOffice ва LibreOffice, мушкилоти шабеҳ дар Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark ва Mumble низ ошкор карда шуд.
Манбаъ: opennet.ru