LibreOffice doako ofimatika-multzoko bi ahultasunei buruzko informazioa zabaldu da, eta horietatik arriskutsuenak berariaz diseinatutako dokumentu bat irekitzean kodea exekutatzea ahalbidetzen du. Lehenengo ahultasuna publizitate handiegirik gabe konpondu zen 7.4.6 eta 7.5.1 martxoko bertsioetan, eta bigarrena LibreOffice 7.4.7 eta 7.5.3 maiatzeko eguneraketetan.
Lehenengo ahultasunak (CVE-2023-0950) sisteman kodea exekutatzea ahalbidetzen du bereziki aldatutako formulak barne hartzen dituen kalkulu-orri bat irekitzean, hala nola, AGGREGATE, non espero baino parametro gutxiago pasatzen diren. Arazoa kalkulu-orrien prozesamenduan erabiltzen den formulen analisi-kodean (ScInterpreter) array-indizearen underflow (underflow) batek eragiten du.
Bigarren ahultasunari (CVE-2023-2255) erasotzaileak bereziki landutako dokumentu bat prestatzeko aukera ematen dio, eskatu edo abisatu gabe irekitzen denean, kanpoko estekak kargatuko dituena, LibreOffice-ren deklaratutako portaerarekin bat ez datorrena, kargatzerakoan abisua suposatzen duena. erlazionatutako edukia. Arazoa "Floating Frames" mekanismoa erabiltzean baimena eskatzeko kodean akats batek eragiten du, HTML-ko iframe baten antzekoa dena eta kanpoko fitxategien edukia dokumentuan dinamikoki sartzea ahalbidetzen duena.
Iturria: opennet.ru
