Pagkatapos ng tatlong buwan ng pag-unlad at pitong taon mula noong huling makabuluhang release, isang corrective release ng office suite na Apache OpenOffice 4.1.10 ay nabuo, na nagmungkahi ng 2 pag-aayos. Ang mga handa na pakete ay inihanda para sa Linux, Windows at macOS.
Ang release ay nag-aayos ng isang kahinaan (CVE-2021-30245) na nagbibigay-daan sa arbitrary code na isagawa sa system kapag nag-click sa isang espesyal na idinisenyong link sa isang dokumento. Ang kahinaan ay dahil sa isang error sa pagproseso ng mga hypertext na link na gumagamit ng mga protocol maliban sa "http://" at "https://", gaya ng "smb://" at "dav://".
Halimbawa, maaaring maglagay ng executable file ang isang attacker sa kanilang SMB server at magpasok ng link dito sa isang dokumento. Kapag nag-click ang user sa link na ito, ang tinukoy na executable file ay isasagawa nang walang babala. Ang pag-atake ay ipinakita sa Windows at Xubuntu. Para sa seguridad, nagdagdag ang OpenOffice 4.1.10 ng karagdagang dialog na nangangailangan ng user na kumpirmahin ang operasyon kapag sumusunod sa isang link sa isang dokumento.
Ang mga mananaliksik na nakilala ang problema ay nabanggit na hindi lamang Apache OpenOffice, kundi pati na rin ang LibreOffice ay apektado ng problema (CVE-2021-25631). Para sa LibreOffice, ang pag-aayos ay kasalukuyang magagamit sa anyo ng isang patch na kasama sa mga release ng LibreOffice 7.0.5 at 7.1.2, ngunit inaayos nito ang problema lamang sa Windows platform (ang listahan ng mga ipinagbabawal na extension ng file ay na-update ). Tumanggi ang mga developer ng LibreOffice na isama ang isang pag-aayos para sa Linux, na binanggit ang katotohanan na ang problema ay wala sa kanilang lugar ng responsibilidad at dapat na malutas sa panig ng mga pamamahagi / kapaligiran ng gumagamit. Bilang karagdagan sa mga suite ng opisina ng OpenOffice at LibreOffice, nakita rin ang isang katulad na problema sa Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark at Mumble.
Pinagmulan: opennet.ru