Informacioni i zbuluar në lidhje me dy dobësi në paketën falas të zyrës LibreOffice, më i rrezikshmi nga të cilët potencialisht lejon ekzekutimin e kodit kur hapni një dokument të krijuar posaçërisht. Dobësia e parë u rregullua pa shumë publicitet në lëshimet e marsit të 7.4.6 dhe 7.5.1, dhe e dyta në përditësimet e majit të LibreOffice 7.4.7 dhe 7.5.3.
Dobësia e parë (CVE-2023-0950) potencialisht lejon që kodi të ekzekutohet në sistem kur hapet një spreadsheet që përfshin formula të modifikuara posaçërisht, si p.sh. AGGREGATE, në të cilat kalohen më pak parametra nga sa pritej. Problemi shkaktohet nga një rrjedhje e indeksit të grupit (nën rrjedhje) në kodin e analizës së formulës (ScInterpreter) i përdorur në përpunimin e fletëllogaritjes.
Dobësia e dytë (CVE-2023-2255) lejon një sulmues të përgatisë një dokument të krijuar posaçërisht që, kur hapet pa nxitje ose paralajmërim, do të ngarkojë lidhje të jashtme, e cila nuk korrespondon me sjelljen e deklaruar të LibreOffice, që nënkupton një paralajmërim gjatë ngarkimit. përmbajtje të lidhura. Problemi shkaktohet nga një gabim në kodin e kërkesës për leje kur përdoret mekanizmi "Floating Frames", i cili është i ngjashëm me një iframe në HTML dhe lejon që përmbajtja e skedarëve të jashtëm të përfshihet në mënyrë dinamike në dokument.
Burimi: opennet.ru
