Uch oylik rivojlanishdan va oxirgi muhim nashrdan keyin etti yil o'tgach, Apache OpenOffice 4.1.10 ofis to'plamining tuzatuvchi relizi yaratildi, u 2 ta tuzatishni taklif qildi. Tayyor paketlar Linux, Windows va macOS uchun tayyorlangan.
Reliz zaiflikni (CVE-2021-30245) tuzatadi, bu hujjatdagi maxsus mo'ljallangan havolani bosganida tizimda o'zboshimchalik bilan kodni bajarishga imkon beradi. Zaiflik “http://” va “https://” protokollaridan boshqa “smb://” va “dav://” kabi protokollardan foydalanadigan gipermatnli havolalarni qayta ishlashdagi xato bilan bog‘liq.
Masalan, tajovuzkor bajariladigan faylni o'zining SMB serveriga joylashtirishi va hujjatga havolani kiritishi mumkin. Foydalanuvchi ushbu havolani bosganida, belgilangan bajariladigan fayl ogohlantirishsiz bajariladi. Hujum Windows va Xubuntu-da namoyish etilgan. Xavfsizlik uchun OpenOffice 4.1.10 qo'shimcha dialog oynasini qo'shib qo'ydi, bunda foydalanuvchi hujjatdagi havolaga amal qilganda operatsiyani tasdiqlashni talab qiladi.
Muammoni aniqlagan tadqiqotchilar muammodan nafaqat Apache OpenOffice, balki LibreOffice ham ta'sir qilishini ta'kidladilar (CVE-2021-25631). LibreOffice uchun tuzatish hozirda LibreOffice 7.0.5 va 7.1.2 relizlariga kiritilgan yamoq shaklida mavjud, ammo u muammoni faqat Windows platformasida tuzatadi (taqiqlangan fayl kengaytmalari roʻyxati yangilangan) ). LibreOffice ishlab chiquvchilari muammo ularning mas'uliyat sohasida emasligi va tarqatish/foydalanuvchi muhiti tomonida hal qilinishi kerakligini aytib, Linux uchun tuzatish kiritishdan bosh tortdilar. OpenOffice va LibreOffice ofis toʻplamlaridan tashqari, Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark va Mumble’da ham shunga oʻxshash muammo aniqlangan.
Manba: opennet.ru