إذا تم استغلالها ، يمكن أن تسمح هذه العيوب للمهاجمين بالوصول غير المصرح به إلى المعلومات الحساسة أو التسبب بشكل عام في حدوث مشكلات
تم إصدار المعلومات حول تم اكتشاف ثغرتين في مجموعة مكتب LibreOffice ، من المحتمل أن يكون أحدها الأكثر خطورة ، لأنه على هذا النحو يسمح بتنفيذ التعليمات البرمجية عند فتح مستند مصمم خصيصًا.
أول نقطة ضعف (تم فهرستها بالفعل ضمن CVE-2023-0950) ملحوظة لأنه يمكن استغلالها عن طريق السماح بتنفيذ التعليمات البرمجية على النظام عن طريق فتح جدول بيانات يتضمن صيغًا معدلة بشكل خاص.
يذكر أن في الإصدارات المتأثرة من LibreOffice ، بعض صيغ جداول البيانات مشوه ، مع AGGREGATE يمكن إنشاؤه بمعلمات أقل من المتوقع. سبب المشكلة هو تدفق تحت فهرس الصفيف في كود تحليل الصيغة (ScInterpreter) المستخدم في معالجة جدول البيانات.
وحدة جدول البيانات LibreOffice يدعم صيغ متعددة تأخذ معلمات متعددة. يتم تفسير الصيغ بواسطة "ScInterpreter" الذي يستخرج المعلمات المطلوبة لصيغة معينة من حزمة.
الثغرة الثانية والأخطر هو (CVE-2023-2255) ويصبح هذا مهمًا للغاية ، منذ ذلك الحين يسمح للمهاجم بإعداد مستند مصممة خصيصًا ، عند فتحها دون إشعار أو تحذير ، سيتم تحميل روابط خارجية لا تتوافق مع السلوك المعلن لـ LibreOffice، مما يشير إلى تحذير عند تحميل محتوى ذي صلة.
في الإصدارات المتأثرة من LibreOffice ، تحصل إطارات iframe هذه على المستند المرتبط وتعرضه دون مطالبة عند تحميل مستند المضيف. لم يكن هذا متسقًا مع سلوك محتوى المستند المرتبط الآخر ، مثل كائنات OLE أو الأقسام المرتبطة من Writer أو صيغ CALC WEBSERVICE التي تحذر المستخدم من وجود مستندات مرتبطة وتسأل عما إذا كان ينبغي السماح لها بالتحديث.
سبب المشكلة هو خطأ في رمز طلب الإذن عند استخدام آلية "الإطارات العائمة" ، والتي تشبه iframe في HTML وتسمح بتضمين المحتوى من الملفات الخارجية ديناميكيًا في المستند.
أخيرًا ، يُذكر أنه تم تصحيح الثغرة الأمنية الأولى دون الكثير من الدعاية في الإصدارين 7.4.6 و 7.5.1 لشهر مارس حيث تم التحقق بالفعل من صحة عدد المعلمات وتم تصحيح الثغرة الأمنية الثانية في تحديثات مايو لـ LibreOffice 7.4.7 و 7.5.3. XNUMX الذي تم فيه توسيع مدير ارتباط التحديث الحالي للتحكم في تحديث محتوى IFrames بشكل إضافي.
كيفية تثبيت LibreOffice 7.5.3؟
بالنسبة لأولئك المهتمين بالقدرة على تحديث مجموعة Office الخاصة بهم ، يجب أن يعلموا أنهم قد يكونون بالفعل على أحدث إصدار ، وهو الإصدار 7.5.3.
إذا لم تكن تستخدم هذا الإصدار بعد ، فيمكنك تنفيذ أوامر التحديث للتوزيع الخاص بك أو ، في هذه الحالة ، يمكنك القيام بالعملية يدويًا. أولاً يجب علينا أولاً إلغاء تثبيت الإصدار السابق ، هذا لتجنب المشاكل اللاحقة.
للقيام بذلك ، يجب علينا فتح Terminal وتنفيذ ما يلي (على سبيل المثال في Ubuntu والمشتقات):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
الآن سوف ننتقل إلى انتقل إلى الموقع الرسمي للمشروع أين يمكننا ذلك في قسم التنزيل الخاص بك الحصول على حزمة ديب لتتمكن من تثبيته في نظامنا.
تم التنزيل سنقوم بفك ضغط محتوى الحزمة المشتراة حديثًا باستخدام:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
ندخل إلى الدليل الذي تم إنشاؤه بعد فك الضغط ، وفي حالتي يكون هو 64 بت:
cd LibreOffice_7.5.3_Linux_x86-64_deb
ثم نذهب إلى المجلد حيث توجد ملفات deb LibreOffice:
cd DEBS
وأخيرًا نقوم بالتثبيت باستخدام:
sudo dpkg -i *.deb
كيفية تثبيت LibreOffice 7.5.3 على Fedora و openSUSE والمشتقات؟
Si أنت تستخدم نظامًا يدعم تثبيت حزم rpm ، يمكنك تثبيت هذا التحديث الجديد بالحصول على حزمة rpm من صفحة تنزيل LibreOffice.
حصلنا على الحزمة التي قمنا بفك الضغط بها:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
ونقوم بتثبيت الحزم التي يحتوي عليها المجلد:
sudo rpm -Uvh *.rpm
كيفية تثبيت LibreOffice 7.5.3 على Arch Linux و Manjaro والمشتقات؟
في حالة القوس والأنظمة المشتقة منه يمكننا تثبيت هذا الإصدار من LibreOffice ، نفتح فقط Terminal ونكتب:
sudo pacman -Sy libreoffice-fresh