විවෘත මූලාශ්ර කාර්යාල කට්ටලයක් වන LibreOffice හි ඇති අවදානම් දෙකක් පිළිබඳ තොරතුරු අනාවරණය කර ඇති අතර, විශේෂයෙන් සකස් කරන ලද ලේඛනයක් විවෘත කිරීමේදී කේත ක්රියාත්මක කිරීමට ඉඩ සලසන වඩාත්ම භයානක එකකි. පළමු අවදානම මාර්තු මාසයේ LibreOffice 7.4.6 සහ 7.5.1 නිකුතුවලදී සහ දෙවනුව මැයි මාසයේ LibreOffice 7.4.7 සහ 7.5.3 යාවත්කාලීන කිරීම්වලදී නිහඬව ඉවත් කරන ලදී.
පළමු අවදානම (CVE-2023-0950) මඟින් AGGREGATE වැනි විශේෂයෙන් වෙනස් කරන ලද සූත්ර අඩංගු පැතුරුම්පතක් විවෘත කිරීමේදී කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි, ඒවා අපේක්ෂා කළ ප්රමාණයට වඩා අඩු පරාමිතීන් සමත් වේ. පැතුරුම්පත් සැකසීමට භාවිතා කරන සූත්ර විග්රහ කිරීමේ කේතයේ (ScInterpreter) අරා දර්ශක ගලායාමක් නිසා ගැටළුව ඇතිවේ.
දෙවන අවදානම (CVE-2023-2255) මඟින් ප්රහාරකයාට විශේෂයෙන් නිර්මාණය කරන ලද ලේඛනයක් නිර්මාණය කිරීමට ඉඩ සලසයි, එය විවෘත කළ විට, විමසීමකින් හෝ අනතුරු ඇඟවීමකින් තොරව බාහිර සබැඳි පූරණය වේ. මෙය LibreOffice හි අපේක්ෂිත හැසිරීමට නොගැලපේ, එනම් සම්බන්ධිත අන්තර්ගතය පූරණය කිරීමේදී අනතුරු ඇඟවීමක් පෙන්වීමයි. ලේඛනයක බාහිර ගොනු අන්තර්ගතය ගතිකව ඇතුළත් කිරීමට ඉඩ සලසන HTML හි iframe හා සමාන "Floating Frames" යාන්ත්රණය භාවිතා කරන විට අවසර ඉල්ලීම් කේතයේ දෝෂයක් නිසා ගැටළුව ඇතිවේ.
මූලාශ්රය: opennet.ru
