ಓಪನ್-ಸೋರ್ಸ್ ಆಫೀಸ್ ಸೂಟ್ ಲಿಬ್ರೆ ಆಫೀಸ್ನಲ್ಲಿರುವ ಎರಡು ದುರ್ಬಲತೆಗಳ ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ, ಅವುಗಳಲ್ಲಿ ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ಎಂದರೆ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆಯುವಾಗ ಕೋಡ್ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಮೊದಲ ದುರ್ಬಲತೆಯನ್ನು ಮಾರ್ಚ್ನಲ್ಲಿ ಬಿಡುಗಡೆಯಾದ ಲಿಬ್ರೆ ಆಫೀಸ್ 7.4.6 ಮತ್ತು 7.5.1 ರಲ್ಲಿ ಸದ್ದಿಲ್ಲದೆ ಪ್ಯಾಚ್ ಮಾಡಲಾಯಿತು, ಮತ್ತು ಎರಡನೆಯದನ್ನು ಮೇ ತಿಂಗಳಲ್ಲಿ ಲಿಬ್ರೆ ಆಫೀಸ್ 7.4.7 ಮತ್ತು 7.5.3 ರ ನವೀಕರಣಗಳಲ್ಲಿ ಸರಿಪಡಿಸಲಾಯಿತು.
ಮೊದಲ ದುರ್ಬಲತೆ (CVE-2023-0950) AGGREGATE ನಂತಹ ವಿಶೇಷವಾಗಿ ಮಾರ್ಪಡಿಸಿದ ಸೂತ್ರಗಳನ್ನು ಹೊಂದಿರುವ ಸ್ಪ್ರೆಡ್ಶೀಟ್ ಅನ್ನು ತೆರೆಯುವಾಗ ಕೋಡ್ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಂಭಾವ್ಯವಾಗಿ ಅನುಮತಿಸುತ್ತದೆ, ಅದು ನಿರೀಕ್ಷೆಗಿಂತ ಕಡಿಮೆ ನಿಯತಾಂಕಗಳನ್ನು ಹಾದುಹೋಗುತ್ತದೆ. ಸ್ಪ್ರೆಡ್ಶೀಟ್ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಬಳಸುವ ಫಾರ್ಮುಲಾ ಪಾರ್ಸಿಂಗ್ ಕೋಡ್ (ScInterpreter) ನಲ್ಲಿನ ಅರೇ ಇಂಡೆಕ್ಸ್ ಅಂಡರ್ಫ್ಲೋನಿಂದ ಈ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
ಎರಡನೇ ದುರ್ಬಲತೆ (CVE-2023-2255) ಆಕ್ರಮಣಕಾರರಿಗೆ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಅದು ತೆರೆದಾಗ, ಪ್ರಾಂಪ್ಟ್ ಅಥವಾ ಎಚ್ಚರಿಕೆ ಇಲ್ಲದೆ ಬಾಹ್ಯ ಲಿಂಕ್ಗಳನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ. ಲಿಂಕ್ ಮಾಡಲಾದ ವಿಷಯವನ್ನು ಲೋಡ್ ಮಾಡುವಾಗ ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸುವ ಲಿಬ್ರೆ ಆಫೀಸ್ನ ಉದ್ದೇಶಿತ ನಡವಳಿಕೆಗೆ ಇದು ಅಸಮಂಜಸವಾಗಿದೆ. HTML ನ iframe ನಂತೆಯೇ "ಫ್ಲೋಟಿಂಗ್ ಫ್ರೇಮ್ಗಳು" ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸುವಾಗ ಅನುಮತಿ ವಿನಂತಿ ಕೋಡ್ನಲ್ಲಿನ ದೋಷದಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಇದು ಡಾಕ್ಯುಮೆಂಟ್ನಲ್ಲಿ ಬಾಹ್ಯ ಫೈಲ್ ವಿಷಯವನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಸೇರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಮೂಲ: opennet.ru
