無料のオフィススイート「LibreOffice」の7.4.6つの脆弱性に関する情報が公開された。そのうち最も危険なものは、特別に設計された文書を開いたときにコードが実行される可能性がある。最初の脆弱性は 7.5.1 月リリース 7.4.7 および 7.5.3 で密かに修正され、XNUMX つ目は LibreOffice XNUMX および XNUMX の XNUMX 月アップデートで修正されました。
2023 つ目の脆弱性 (CVE-0950-XNUMX) では、予期よりも少ないパラメーターが渡される AGGREGATE など、特別に変更された数式を含むスプレッドシートを開くときに、システム上でコードが実行される可能性があります。この問題は、スプレッドシートの処理時に使用される数式解析コード (ScInterpreter) における配列インデックスのオーバーフロー アンダーフローが原因で発生します。
2023 番目の脆弱性 (CVE-2255-XNUMX) では、攻撃者が特別に設計されたドキュメントを作成することができます。このドキュメントを開くと、プロンプトや警告なしで外部リンクが読み込まれます。これは、警告の表示を意味する LibreOffice の宣言された動作に対応しません。関連コンテンツを読み込むとき。この問題は、外部ファイルのコンテンツをドキュメントに動的に含めることを可能にする HTML の iframe に似た「フローティング フレーム」メカニズムを使用する際の権限要求コードの欠陥によって発生します。
出所: オープンネット.ru
