திறந்த மூல அலுவலகத் தொகுப்பான LibreOffice-இல் உள்ள இரண்டு பாதிப்புகள் பற்றிய தகவல்கள் வெளியிடப்பட்டுள்ளன, அவற்றில் மிகவும் ஆபத்தானது சிறப்பாக வடிவமைக்கப்பட்ட ஆவணத்தைத் திறக்கும்போது குறியீட்டைச் செயல்படுத்த அனுமதிக்கும். முதல் பாதிப்பு மார்ச் மாத வெளியீடுகளான LibreOffice 7.4.6 மற்றும் 7.5.1-லும், இரண்டாவது மே மாத LibreOffice 7.4.7 மற்றும் 7.5.3-இன் புதுப்பிப்புகளிலும் அமைதியாகப் பொருத்தப்பட்டது.
முதல் பாதிப்பு (CVE-2023-0950), எதிர்பார்த்ததை விட குறைவான அளவுருக்களைக் கடந்து செல்லும் AGGREGATE போன்ற சிறப்பாக மாற்றியமைக்கப்பட்ட சூத்திரங்களைக் கொண்ட விரிதாளைத் திறக்கும்போது குறியீட்டைச் செயல்படுத்த அனுமதிக்கும். விரிதாள்களைச் செயலாக்கப் பயன்படுத்தப்படும் சூத்திர பாகுபடுத்தும் குறியீட்டில் (ScInterpreter) வரிசை குறியீட்டு அண்டர்ஃப்ளோவால் இந்தப் பிரச்சினை ஏற்படுகிறது.
இரண்டாவது பாதிப்பு (CVE-2023-2255) தாக்குபவர் சிறப்பாக வடிவமைக்கப்பட்ட ஆவணத்தை உருவாக்க அனுமதிக்கிறது, அது திறக்கப்படும்போது, தூண்டுதல் அல்லது எச்சரிக்கை இல்லாமல் வெளிப்புற இணைப்புகளை ஏற்றுகிறது. இணைக்கப்பட்ட உள்ளடக்கத்தை ஏற்றும்போது ஒரு எச்சரிக்கையைக் காண்பிப்பதே LibreOffice இன் நோக்கம் கொண்ட நடத்தைக்கு இது முரணானது. HTML இன் iframe ஐப் போலவே, "மிதக்கும் பிரேம்கள்" பொறிமுறையைப் பயன்படுத்தும் போது அனுமதி கோரிக்கைக் குறியீட்டில் உள்ள குறைபாட்டால் இந்த சிக்கல் ஏற்படுகிறது, இது ஒரு ஆவணத்தில் வெளிப்புற கோப்பு உள்ளடக்கத்தை மாறும் வகையில் சேர்க்க அனுமதிக்கிறது.
ஆதாரம்: opennet.ru
