После почти двух лет с момента прошлого обновления опубликован корректирующий релиз офисного пакета Apache OpenOffice 4.1.16, в котором устранено 7 уязвимостей и исправлено несколько ошибок. Готовые пакеты подготовлены для Linux, Windows и macOS.
Устранённые уязвимости:
- CVE-2025-64406 – выход за границу буфера при импорте специально оформленных файлов в формате CSV. Потенциально уязвимость может привести к перезаписи данных в памяти и выполнению своего кода в системе.
- CVE-2025-64407 – функция загрузки URL могла использоваться для передачи на внешний сервер переменных окружения и значений из INI-файлов при открытии документа со специально оформленными внешними ссылками, загружаемыми без ведома пользователя. В числе аргументов подобных ссылок допускалась передача различных настроек и переменных окружения.
- CVE-2025-64401, CVE-2025-64402, CVE-2025-64403, CVE-2025-64404, CVE-2025-64405 – возможность загрузки в документ внешнего содержимого без подтверждения операции у пользователя через манипуляции с iframe, OLE-объектами, внешними источниками данных в Calc, DDE-функциями и фоновыми картинками. Проблемы вызваны возможностью подстановки в документ внешних ссылок, содержимое которых загружается без уведомления пользователя.
Среди не связанных с безопасностью изменений:
- Реализована поддержка шифрования документов в формате ODF 1.2 с использованием алгоритма AES-256.
- Повышена совместимость со спецификацией MathML.
- Удалён неиспользуемый модуль “bmpmaker”.
- На платформе macOS отключена автоматическая проверка обновлений, приводившая к взаимной блокировке.
- Исправлено 18 проблем, среди которых зависание загрузки на стадии проверки обновлений, пропадание слайдера масштабирования при смене страницы в Draw/Impress, некорректный разбор некоторых CSV-файлов, аварийное завершение запуска при наличии некоторых шрифтов, некорректная очистка списка недавно открытых документов.
Release.
Ссылка here.