Дата публикации:Wed, 12 Nov 2025 08:46:44 +0300
После почти двух лет с момента прошлого обновления опубликован корректирующий релиз офисного пакета Apache OpenOffice 4.1.16, в котором устранено 7 уязвимостей и исправлено несколько ошибок. Готовые пакеты подготовлены для Linux, Windows и macOS.
Устранённые уязвимости:
- CVE-2025-64406 - выход за границу буфера при импорте специально оформленных файлов в формате CSV. Потенциально уязвимость может привести к перезаписи данных в памяти и выполнению своего кода в системе. CVE-2025-64407 - функция загрузки URL могла использоваться для передачи на внешний сервер переменных окружения и значений из INI-файлов при открытии документа со специально оформленными внешними ссылками, загружаемыми без ведома пользователя. В числе аргументов подобных ссылок допускалась передача различных настроек и переменных окружения. CVE-2025-64401, CVE-2025-64402, CVE-2025-64403, CVE-2025-64404, CVE-2025-64405 - возможность загрузки в документ внешнего содержимого без подтверждения операции у пользователя через манипуляции с iframe, OLE-объектами, внешними источниками данных в Calc, DDE-функциями и фоновыми картинками. Проблемы вызваны возможностью подстановки в документ внешних ссылок, содержимое которых загружается без уведомления пользователя.
- Реализована поддержка шифрования документов в формате ODF 1.2 с использованием алгоритма AES-256. Повышена совместимость со спецификацией MathML. Удалён неиспользуемый модуль "bmpmaker". На платформе macOS отключена автоматическая проверка обновлений, приводившая к взаимной блокировке. Исправлено 18 проблем, среди которых зависание загрузки на стадии проверки обновлений, пропадание слайдера масштабирования при смене страницы в Draw/Impress, некорректный разбор некоторых CSV-файлов, аварийное завершение запуска при наличии некоторых шрифтов, некорректная очистка списка недавно открытых документов.
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64225