Објавени се информации за две пропусти во бесплатниот канцелариски пакет LibreOffice, од кои најопасниот потенцијално дозволува извршување на кодот при отворање на специјално дизајниран документ. Првата ранливост беше тивко поправена во мартовските изданија 7.4.6 и 7.5.1, а втората во мајските ажурирања на LibreOffice 7.4.7 и 7.5.3.
Првата ранливост (CVE-2023-0950) потенцијално овозможува извршување на кодот на системот кога се отвора табела која вклучува специјално изменети формули, како што е АГРЕГАТ, во која се пренесуваат помалку параметри од очекуваното. Проблемот е предизвикан од прелевање на индексот на низа во кодот за парсирање на формулата (ScInterpreter) што се користи при обработка на табеларни пресметки.
Втората ранливост (CVE-2023-2255) му овозможува на напаѓачот да подготви специјално дизајниран документ, кој, кога ќе се отвори, ќе вчита надворешни врски без предупредување или предупредување, што не одговара на декларираното однесување на LibreOffice, што подразбира прикажување предупредување при вчитување поврзана содржина. Проблемот е предизвикан од пропуст во кодот за барање дозволи при користење на механизмот „Floating Frames“, сличен на iframes во HTML, што овозможува содржината на надворешните датотеки динамично да се вклучи во документот.
Извор: opennet.ru
