LibreOffice의 두 가지 취약점

무료 오피스 제품군 LibreOffice의 두 가지 취약점에 대한 정보를 공개했습니다. 이 중 가장 위험한 취약점은 특별히 설계된 문서를 열 때 잠재적으로 코드 실행을 허용합니다. 첫 번째 취약점은 7.4.6월 릴리스인 7.5.1 및 7.4.7에서 별다른 공개 없이 수정되었으며, 두 번째 취약점은 LibreOffice 7.5.3 및 XNUMX의 XNUMX월 업데이트에서 수정되었습니다.

첫 번째 취약점(CVE-2023-0950)은 예상보다 적은 수의 매개 변수가 전달되는 AGGREGATE와 같이 특별히 수정된 수식이 포함된 스프레드시트를 열 때 시스템에서 코드가 실행될 가능성이 있습니다. 이 문제는 스프레드시트 처리에 사용되는 수식 분석 코드(ScInterpreter)의 배열 인덱스 언더플로(underflow)로 인해 발생합니다.

두 번째 취약점(CVE-2023-2255)을 사용하면 공격자가 메시지나 경고 없이 열 때 외부 링크를 로드하는 특수 제작된 문서를 준비할 수 있습니다. 이는 LibreOffice의 선언된 동작과 일치하지 않으며 로드 시 경고를 암시합니다. 관련된 컨텐츠. 이 문제는 HTML의 iframe과 유사하며 외부 파일의 콘텐츠를 문서에 동적으로 포함할 수 있는 "부동 프레임" 메커니즘을 사용할 때 권한 요청 코드의 버그로 인해 발생합니다.

출처 : opennet.ru