ProHoster > Š‘Š»Š¾Š³ > interneta ziņas > Divas LibreOffice ievainojamÄ«bas

Divas LibreOffice ievainojamības

Ir atklāta informācija par divām atvērtā pirmkoda biroja programmatūras pakotnes LibreOffice ievainojamībām, no kurām bīstamākā potenciāli ļauj izpildīt kodu, atverot speciāli izveidotu dokumentu. Pirmā ievainojamība tika nemanāmi novērsta LibreOffice 7.4.6 un 7.5.1 marta laidienos, bet otrā - LibreOffice 7.4.7 un 7.5.3 maija atjauninājumos.

Pirmā ievainojamÄ«ba (CVE-2023-0950) potenciāli ļauj izpildÄ«t kodu, atverot izklājlapu, kas satur Ä«paÅ”i modificētas formulas, piemēram, AGGREGATE, kas nodod mazāk parametru nekā paredzēts. Problēmu rada masÄ«va indeksa nepietiekama piepilde formulu parsÄ“Å”anas kodā (ScInterpreter), ko izmanto izklājlapu apstrādei.

Otrā ievainojamÄ«ba (CVE-2023-2255) ļauj uzbrucējam izveidot speciāli izstrādātu dokumentu, kas, atverot, ielādē ārējās saites bez vaicājuma vai brÄ«dinājuma. Tas neatbilst LibreOffice paredzētajai darbÄ«bai, kas ir brÄ«dinājuma parādÄ«Å”ana, ielādējot saistÄ«to saturu. Problēmu rada kļūda atļauju pieprasÄ«juma kodā, izmantojot "peldoÅ”o rāmju" mehānismu, kas ir lÄ«dzÄ«gs HTML iframe, kas ļauj dokumentā dinamiski iekļaut ārēju failu saturu.

Avots: opennet.ru

Pievieno komentāru