በነጻ የቢሮ ክፍል ሊብሬኦፊስ ውስጥ ስላሉ ሁለት ተጋላጭነቶች ይፋ የሆነ መረጃ፣ ከእነዚህ ውስጥ በጣም አደገኛ የሆነው በልዩ ሁኔታ የተነደፈ ሰነድ ሲከፍት የኮድ አፈፃፀምን ይፈቅዳል። የመጀመሪያው ተጋላጭነት በመጋቢት 7.4.6 እና 7.5.1 የተለቀቁት እና በግንቦት ወር የLibreOffice 7.4.7 እና 7.5.3 ዝማኔዎች ላይ ብዙም ይፋ ሳይደረግ ተስተካክሏል።
የመጀመሪያው ተጋላጭነት (CVE-2023-0950) በተለየ ሁኔታ የተሻሻሉ ቀመሮችን ያካተተ የተመን ሉህ ሲከፍት በሲስተሙ ላይ እንዲተገበር ያስችለዋል፣ እንደ AGGREGATE፣ ይህም ከተጠበቀው በላይ ያነሱ መለኪያዎች ያልፋሉ። ችግሩ የተፈጠረው በተመን ሉህ ሂደት ውስጥ ጥቅም ላይ በሚውለው የቀመር መተንተን ኮድ (ScInterpreter) ውስጥ ባለው የድርድር ኢንዴክስ ስር ፍሰት (ከስር ፍሰት) ነው።
ሁለተኛው ተጋላጭነት (CVE-2023-2255) አጥቂው ያለፍላጎት እና ማስጠንቀቂያ ሲከፈት ውጫዊ ሊንኮችን የሚጭን በልዩ ሁኔታ የተሰራ ሰነድ እንዲያዘጋጅ ያስችለዋል ፣ይህም ከሊብሬኦፊስ ከተገለጸው ባህሪ ጋር አይዛመድም ፣ይህም በሚጫኑበት ጊዜ ማስጠንቀቂያን ያሳያል ። ተዛማጅ ይዘት. ጉዳዩ የተፈጠረው በኤችቲኤምኤል ውስጥ ካለው iframe ጋር ተመሳሳይ እና የውጪ ፋይሎች ይዘት በተለዋዋጭ በሰነዱ ውስጥ እንዲካተት የሚፈቅድ የ"Floating Frames" ዘዴን ሲጠቀሙ በፍቃድ ጥያቄ ኮድ ውስጥ ባለ ስህተት ነው።
ምንጭ: opennet.ru
