تین ماہ کی ترقی اور آخری اہم ریلیز کے سات سالوں کے بعد، آفس سوٹ اپاچی اوپن آفس 4.1.10 کی ایک اصلاحی ریلیز تشکیل دی گئی، جس میں 2 اصلاحات تجویز کی گئیں۔ لینکس، ونڈوز اور میک او ایس کے لیے تیار پیکجز تیار کیے جاتے ہیں۔
ریلیز ایک کمزوری (CVE-2021-30245) کو ٹھیک کرتی ہے جو کسی دستاویز میں خصوصی طور پر ڈیزائن کیے گئے لنک پر کلک کرنے پر سسٹم میں صوابدیدی کوڈ کو لاگو کرنے کی اجازت دیتی ہے۔ یہ خطرہ ہائپر ٹیکسٹ لنکس کی پروسیسنگ میں خرابی کی وجہ سے ہے جو "http://" اور "https://" کے علاوہ پروٹوکول استعمال کرتے ہیں، جیسے "smb://" اور "dav://"۔
مثال کے طور پر، ایک حملہ آور اپنے SMB سرور پر ایک قابل عمل فائل رکھ سکتا ہے اور اس کا لنک کسی دستاویز میں داخل کر سکتا ہے۔ جب صارف اس لنک پر کلک کرتا ہے تو، مخصوص ایگزیکیوٹیبل فائل کو بغیر وارننگ کے عمل میں لایا جائے گا۔ اس حملے کا مظاہرہ ونڈوز اور زوبنٹو پر کیا گیا ہے۔ سیکیورٹی کے لیے، OpenOffice 4.1.10 نے ایک اضافی ڈائیلاگ شامل کیا جس کے لیے صارف کو دستاویز میں لنک پر عمل کرتے وقت آپریشن کی تصدیق کرنے کی ضرورت ہوتی ہے۔
اس مسئلے کی نشاندہی کرنے والے محققین نے نوٹ کیا کہ نہ صرف Apache OpenOffice بلکہ LibreOffice بھی اس مسئلے سے متاثر ہوتا ہے (CVE-2021-25631)۔ LibreOffice کے لیے، فکس فی الحال ایک پیچ کی شکل میں دستیاب ہے جو LibreOffice 7.0.5 اور 7.1.2 کی ریلیز میں شامل ہے، لیکن یہ مسئلہ صرف ونڈوز پلیٹ فارم پر حل کرتا ہے (ممنوعہ فائل ایکسٹینشن کی فہرست کو اپ ڈیٹ کر دیا گیا ہے۔ )۔ LibreOffice کے ڈویلپرز نے لینکس کے لیے ایک فکس شامل کرنے سے انکار کر دیا، اس حقیقت کا حوالہ دیتے ہوئے کہ یہ مسئلہ ان کی ذمہ داری کے علاقے میں نہیں ہے اور اسے تقسیم/صارف کے ماحول کی طرف سے حل کیا جانا چاہیے۔ OpenOffice اور LibreOffice آفس سویٹس کے علاوہ، اسی طرح کا مسئلہ Telegram، Nextcloud، VLC، Bitcoin/dogecoin Wallet، Wireshark اور Mumble میں بھی پایا گیا۔
ماخذ: opennet.ru