Verëffentlecht Informatioun iwwer zwee Schwachstelle an der gratis Büro Suite LibreOffice, déi geféierlechst vun deenen potenziell d'Ausféierung vum Code erlaabt wann Dir e speziell entworf Dokument opmaacht. Déi éischt Schwachstelle gouf ouni ze vill Publizitéit an de Mäerz Verëffentlechungen vun 7.4.6 a 7.5.1 fixéiert, an déi zweet an de Mee Updates vu LibreOffice 7.4.7 a 7.5.3.
Déi éischt Schwachstelle (CVE-2023-0950) erlaabt potenziell Code am System auszeféieren wann Dir eng Spreadsheet opmaacht déi speziell modifizéiert Formelen enthält, wéi AGGREGATE, an deenen manner Parametere passéiert ginn wéi erwaart. De Problem gëtt verursaacht duerch en Array Index Underflow (Underflow) am Formel Parsing Code (ScInterpreter) deen an der Spreadsheet Veraarbechtung benotzt gëtt.
Déi zweet Schwachstelle (CVE-2023-2255) erlaabt en Ugräifer e speziell erstallt Dokument virzebereeden, deen, wann se ouni Ufro oder Warnung opgemaach gëtt, extern Linken lueden, wat net dem deklaréierte Verhalen vu LibreOffice entsprécht, wat eng Warnung implizéiert beim Luede verbonnen Inhalt. D'Thema ass verursaacht duerch e Feeler am Erlaabnis Ufro Code wann Dir de "Floating Frames" Mechanismus benotzt, deen ähnlech wéi en iframe an HTML ass an erlaabt den Inhalt vun externen Dateien dynamesch am Dokument opzehuelen.
Source: opennet.ru
