د خلاصې سرچینې دفتر سویټ لیبر آفس کې د دوو زیان منونکو په اړه معلومات افشا شوي، چې ترټولو خطرناک یې په بالقوه توګه د ځانګړي جوړ شوي سند د پرانستلو پرمهال د کوډ اجرا کولو ته اجازه ورکوي. لومړۍ زیان منونکې په خاموشۍ سره د لیبر آفس 7.4.6 او 7.5.1 د مارچ په خپرونو کې پیچ شوې وه، او دوهمه یې د لیبر آفس 7.4.7 او 7.5.3 د می په تازه معلوماتو کې.
لومړۍ زیانمننه (CVE-2023-0950) په بالقوه توګه د کوډ اجرا کولو ته اجازه ورکوي کله چې یو سپریډ شیټ پرانیزي چې په ځانګړي ډول تعدیل شوي فورمولونه لري، لکه AGGREGATE، چې د تمې څخه لږ پیرامیټرونه تیریږي. دا ستونزه د فورمول پارس کولو کوډ (ScInterpreter) کې د صف شاخص انډر فلو له امله رامینځته کیږي چې د سپریډ شیټونو پروسس کولو لپاره کارول کیږي.
دوهم زیان منونکی (CVE-2023-2255) بریدګر ته اجازه ورکوي چې یو ځانګړی جوړ شوی سند رامینځته کړي چې کله پرانیستل شي، نو بهرنۍ لینکونه پرته له اشارې یا خبرداری څخه باروي. دا د لیبر آفس د ارادې چلند سره مطابقت نلري، کوم چې د لینک شوي مینځپانګې بارولو پرمهال د خبرتیا ښودل دي. دا ستونزه د "فلوټینګ فریمونو" میکانیزم کارولو پرمهال د اجازې غوښتنې کوډ کې د نیمګړتیا له امله رامینځته کیږي، د HTML د iframe سره ورته، کوم چې په سند کې د بهرني فایل مینځپانګې متحرک شاملولو ته اجازه ورکوي.
سرچینه: opennet.ru
