Razkrite so bile informacije o dveh ranljivostih v odprtokodnem pisarniškem paketu LibreOffice, od katerih najnevarnejša potencialno omogoča izvajanje kode pri odpiranju posebej izdelanega dokumenta. Prva ranljivost je bila neopazno odpravljena v marčevskih izdajah LibreOffice 7.4.6 in 7.5.1, druga pa v majskih posodobitvah LibreOffice 7.4.7 in 7.5.3.
Prva ranljivost (CVE-2023-0950) potencialno omogoča izvajanje kode pri odpiranju preglednice, ki vsebuje posebej spremenjene formule, kot je AGGREGATE, ki posredujejo manj parametrov, kot je pričakovano. Težavo povzroča premajhen obseg indeksa polja v kodi za razčlenjevanje formul (ScInterpreter), ki se uporablja za obdelavo preglednic.
Druga ranljivost (CVE-2023-2255) napadalcu omogoča ustvarjanje posebej oblikovanega dokumenta, ki ob odprtju naloži zunanje povezave brez poziva ali opozorila. To ni v skladu z načrtovanim delovanjem LibreOffice, ki naj bi prikazalo opozorilo pri nalaganju povezane vsebine. Težavo povzroča napaka v kodi zahteve za dovoljenja pri uporabi mehanizma »plavajoči okvirji«, podobnega iframe-u v HTML-ju, ki omogoča dinamično vključevanje vsebine zunanjih datotek v dokument.
Vir: opennet.ru
