Після трьох місяців розробки та семи років з моменту минулого значного випуску сформовано коригуючий реліз офісного пакету Apache OpenOffice 4.1.10, в якому запропоновано 2 виправлення. Готові пакети підготовлені для Linux, Windows та MacOS.
У випуску усунуто вразливість (CVE-2021-30245), що дозволяє виконати довільний код у системі при натисканні на спеціально оформлене посилання в документі. Вразливість викликана помилкою при обробці гіпертекстових посилань, в яких використовуються протоколи, відмінні від "http://" та "https://", такі як "smb://" та "dav://".
Наприклад, атакуючий може розмістити файл, що виконується, на своєму SMB-сервері і вставити в документ на нього посилання. При натисканні користувача на цьому посиланні, вказаний виконуваний файл без попередження буде виконано. Можливість здійснення атаки продемонстрована у Windows та Xubuntu. Для захисту в OpenOffice 4.1.10 додано додатковий діалог, що вимагає від користувача підтвердження операції під час переходу за посиланням у документі.
Дослідники, що виявили проблему, відзначили, що проблемі схильний не тільки Apache OpenOffice, але і LibreOffice (CVE-2021-25631). Для LibreOffice виправлення поки доступне у вигляді патча, що увійшов до складу випусків LibreOffice 7.0.5 і 7.1.2, але вирішує проблему тільки на платформі Windows (оновлено список заборонених розширень файлів). Виправлення для Linux розробники LibreOffice відмовилися включати, мотивуючи своє рішення тим, що проблема лежить не в їхній зоні відповідальності і повинна бути усунена на стороні дистрибутивів/окулярів користувача. Крім офісних пакетів OpenOffice та LibreOffice аналогічна проблема також виявлена у Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark та Mumble.
Джерело: opennet.ru