L'infurmazione hè stata divulgata nantu à duie vulnerabilità in a suite d'uffiziu gratuitu LibreOffice, u più periculosu di quale potenzialmente permette di eseguisce u codice quandu apre un documentu apposta. A prima vulnerabilità hè stata riparata in silenziu in e versioni di marzu 7.4.6 è 7.5.1, è a seconda in l'aghjurnamenti di maghju di LibreOffice 7.4.7 è 7.5.3.
A prima vulnerabilità (CVE-2023-0950) potenzialmente permette à u codice per esse eseguitu nantu à u sistema quandu apre una foglia di calculu chì include formule modificate apposta, cum'è AGGREGATE, in quale sò passati menu paràmetri di l'aspittatu. U prublema hè causatu da un indice di array overflow underflow in u codice di analisi di formule (ScInterpreter) utilizatu quandu si tratta di fogli di calculu.
A seconda vulnerabilità (CVE-2023-2255) permette à un attaccu di preparà un documentu apposta chì, quandu hè apertu, caricarà ligami esterni senza avvisu o avvisu, chì ùn currisponde micca à u cumpurtamentu dichjaratu di LibreOffice, chì implica a visualizazione di un avvisu. quandu carica u cuntenutu ligatu. U prublema hè causatu da un difettu in u codice di dumanda di permessi quandu si usa u mecanismu "Floating Frames", simili à iframes in HTML, chì permette chì u cuntenutu di i schedari esterni sia dinamicamente inclusu in un documentu.
Source: opennet.ru
