Разработчики Apache OpenOffice выпустили важное обновление безопасности - версию 4.1.16 офисного пакета, устраняющую семь уязвимостей, которые могли привести к утечке данных и выполнению произвольного кода. Новые сборки уже доступны для Windows, macOS и Linux на 41 языке, включая официальное присутствие в Microsoft Store для пользователей Windows 10 и 11.
Детали уязвимостей
Наиболее серьезной проблемой стала уязвимость CVE-2025-64406, связанная с переполнением буфера при обработке специально созданных CSV-файлов. Эксплуатация данной уязвимости позволяла злоумышленникам перезаписывать данные в памяти и потенциально выполнять произвольный код в системе жертвы. Подобные уязвимости особенно опасны, поскольку могут использоваться для полного компрометирования рабочей станции без ведома пользователя.
Другая значимая уязвимость CVE-2025-64407 затрагивала механизм загрузки URL. Исследователи обнаружили, что функция могла быть использована для передачи переменных окружения и значений из INI-файлов на внешние серверы при открытии документа со специально оформленными внешними ссылками. При этом загрузка происходила без ведома пользователя, создавая серьезный риск утечки конфиденциальной информации о системе и настройках приложения.
Группа из пяти связанных уязвимостей - CVE-2025-64401, CVE-2025-64402, CVE-2025-64403, CVE-2025-64404 и CVE-2025-64405 - касалась несанкционированной загрузки внешнего содержимого без подтверждения пользователя. Проблемы возникали при манипуляциях с различными элементами документов: iframe, OLE-объектами, внешними источниками данных в Calc, DDE-функциями и фоновыми изображениями. Во всех случаях злоумышленники могли внедрять в документы внешние ссылки, содержимое которых загружалось автоматически, без какого-либо уведомления для пользователя.
Специалисты по кибербезопасности отмечают, что подобные уязвимости особенно привлекательны для злоумышленников, поскольку они позволяют осуществлять скрытые сетевые соединения. Более того, такие атаки могут обходить традиционные средства защиты, так как исходящий трафик генерируется легитимным приложением.
Выпуск Apache OpenOffice 4.1.16 является исключительно корректирующим и фокусируется на устранении проблем безопасности и исправлении ошибок. Пользователи предыдущих версий, особенно 4.1.15 и более ранних, настоятельно рекомендуется установить обновление как можно скорее. Для проверки успешности обновления достаточно открыть диалоговое окно «О программе» через меню «Справка», где будет указана актуальная версия 4.1.16.
Разработчики подчеркивают важность проверки целостности загруженных файлов через предоставленные контрольные суммы. Эта процедура особенно актуальна для open-source программ, распространяемых через множество зеркал. Инструкции по проверке доступны на официальной странице контрольных сумм проекта.
Дополнительно в обновление включены последние версии словарей и исправления различных ошибок, не связанных с безопасностью. Пользователи могут ознакомиться с полным списком изменений в примечаниях к выпуску, где также содержатся сведения об известных проблемах и возможных способах их обхода.
Своевременное обновление программного обеспечения остается одним из наиболее эффективных методов защиты от киберугроз. Особенно это касается офисных пакетов, которые регулярно обрабатывают файлы из ненадежных источников, таких как вложения электронной почты и загрузки из интернета. Установка последней версии Apache OpenOffice значительно снижает риск эксплуатации обнаруженных уязвимостей.
Ссылки
- https://www.openoffice.org/security/cves/CVE-2025-64406.html
- https://www.openoffice.org/security/cves/CVE-2025-64407.html
- https://www.openoffice.org/security/cves/CVE-2025-64401.html
- https://www.openoffice.org/security/cves/CVE-2025-64402.html
- https://www.openoffice.org/security/cves/CVE-2025-64403.html
- https://www.openoffice.org/security/cves/CVE-2025-64404.html
- https://www.openoffice.org/security/cves/CVE-2025-64405.html
