Ġiet żvelata informazzjoni dwar żewġ vulnerabbiltajiet fl-uffiċċju bla ħlas LibreOffice, li l-aktar perikoluża minnhom potenzjalment tippermetti li jiġi esegwit kodiċi meta jinfetaħ dokument iddisinjat apposta. L-ewwel vulnerabbiltà ġiet iffissata bil-kwiet fir-rilaxxi ta 'Marzu 7.4.6 u 7.5.1, u t-tieni fl-aġġornamenti ta' Mejju ta 'LibreOffice 7.4.7 u 7.5.3.
L-ewwel vulnerabbiltà (CVE-2023-0950) potenzjalment tippermetti li l-kodiċi jiġi esegwit fuq is-sistema meta tiftaħ spreadsheet li tinkludi formuli modifikati apposta, bħal AGGREGATE, li fiha jgħaddu inqas parametri milli mistenni. Il-problema hija kkawżata minn array index overflow underflow fil-formula parsing code (ScInterpreter) użat meta tipproċessa spreadsheets.
It-tieni vulnerabbiltà (CVE-2023-2255) tippermetti lil attakkant biex jipprepara dokument iddisinjat apposta, li, meta jinfetaħ, se jgħabbi links esterni mingħajr pront jew twissija, li ma jikkorrispondix mal-imġieba ddikjarata ta 'LibreOffice, li jimplika l-wiri ta' twissija meta tagħbija kontenut relatat. Il-problema hija kkawżata minn difett fil-kodiċi tat-talba tal-permessi meta jintuża l-mekkaniżmu "Floating Frames", simili għal iframes fl-HTML, li jippermetti li l-kontenut ta 'fajls esterni jiġi inkluż dinamikament fid-dokument.
Sors: opennet.ru
