LibreOffice ашық бастапқы кеңсе жиынтығындағы екі осалдық туралы ақпарат ашылды, олардың ең қауіптісі арнайы жасалған құжатты ашу кезінде кодты орындауға мүмкіндік береді. Бірінші осалдық LibreOffice 7.4.6 және 7.5.1 наурыздағы шығарылымдарында, ал екіншісі LibreOffice 7.4.7 және 7.5.3 мамырдағы жаңартуларында тыныш түзетілді.
Бірінші осалдық (CVE-2023-0950) күтілгеннен азырақ параметрлерді өткізетін AGGREGATE сияқты арнайы өзгертілген формулалары бар электрондық кестені ашу кезінде кодты орындауға мүмкіндік береді. Мәселе электрондық кестелерді өңдеу үшін пайдаланылатын формуланы талдау кодындағы (ScInterpreter) массив индексінің азаюынан туындады.
Екінші осалдық (CVE-2023-2255) шабуылдаушыға ашылған кезде сыртқы сілтемелерді шақырусыз немесе ескертусіз жүктейтін арнайы жасалған құжатты жасауға мүмкіндік береді. Бұл LibreOffice бағдарламасының байланыстырылған мазмұнды жүктеген кезде ескерту көрсетуге арналған әрекетіне сәйкес келмейді. Мәселе құжатқа сыртқы файл мазмұнын динамикалық қосуға мүмкіндік беретін HTML-нің iframe-ге ұқсас "Қалқымалы жақтаулар" механизмін пайдалану кезінде рұқсат сұрау кодындағы ақаудан туындады.
Ақпарат көзі: opennet.ru
