Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy
Informace zveřejněné o dvě zranitelnosti zjištěné v kancelářském balíku LibreOffice, jeden z nich je považován za potenciálně nejnebezpečnější, protože jako takový umožňuje spuštění kódu při otevření speciálně navrženého dokumentu.
První zranitelnost (již katalogizováno pod CVE-2023-0950) je pozoruhodný, protože by mohl být potenciálně zneužit tím, že umožníte spuštění kódu v systému otevřením tabulky, která obsahuje speciálně upravené vzorce.
Je to zmíněno v dotčených verzích LibreOffice určité vzorce tabulek deformovaný, s AGGREGATE lze vytvořit s méně parametry, než se očekávalo. Problém je způsoben podtečením indexu pole v kódu analýzy vzorců (ScInterpreter) používaném při zpracování tabulky.
Modul tabulky LibreOffice podporuje více vzorců, které přebírají více parametrů. Vzorce jsou interpretovány pomocí 'ScInterpreter', který extrahuje požadované parametry pro daný vzorec ze zásobníku.
Druhá zranitelnost a nejnebezpečnější je (CVE-2023-2255) a to se stává nesmírně důležité, protože umožňuje útočníkovi připravit dokument speciálně navrženo tak, aby při otevření bez upozornění nebo varování načte externí odkazy, což neodpovídá deklarovanému chování LibreOffice, což znamená varování při načítání souvisejícího obsahu.
V postižených verzích LibreOffice tyto prvky iframe získají a zobrazí svůj propojený dokument bez výzvy při načítání hostitelského dokumentu. To nebylo v souladu s chováním jiného obsahu propojeného dokumentu, jako jsou objekty OLE, propojené části aplikace Writer nebo vzorce CALC WEBSERVICE, které uživatele varují, že existují propojené dokumenty, a ptají se, zda by jim mělo být povoleno aktualizovat.
Problém je způsoben chybou v kódu žádosti o oprávnění při použití mechanismu „Plovoucí rámce“, který je podobný prvku iframe v HTML a umožňuje dynamické zahrnutí obsahu z externích souborů do dokumentu.
Nakonec je zmíněno, že první chyba zabezpečení byla opravena bez větší publicity v březnových verzích 7.4.6 a 7.5.1, ve kterých je počet parametrů již ověřen, a druhá chyba byla opravena v květnových aktualizacích LibreOffice 7.4.7 a 7.5.3. XNUMX, ve kterém byl stávající správce odkazů aktualizace rozšířen o dodatečné řízení aktualizace obsahu prvků IFrame.
Jak nainstalovat LibreOffice 7.5.3?
Pro ty, kdo mají zájem o aktualizaci svého kancelářského balíku, by měli vědět, že již mohou být na nejaktuálnější verzi, kterou je verze 7.5.3.
Pokud tuto verzi ještě nepoužíváte, můžete provést aktualizační příkazy vaší distribuce nebo v takovém případě můžete proces provést ručně. pro to první musíme nejprve odinstalovat předchozí verzi, to proto, aby se předešlo pozdějším problémům.
K tomu musíme otevřít terminál a provést následující (například v Ubuntu a odvozeninách):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
Nyní budeme pokračovat přejděte na oficiální webovou stránku projektu kde ve vaší sekci pro stahování můžeme získat deb balíček abychom jej mohli nainstalovat do našeho systému.
Hotovo stahování rozbalíme obsah nově zakoupeného balíčku pomocí:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
Zadáme adresář vytvořený po rozbalení, v mém případě je to 64bitový:
cd LibreOffice_7.5.3_Linux_x86-64_deb
Poté přejdeme do složky, kde jsou deb soubory LibreOffice:
cd DEBS
A nakonec instalujeme pomocí:
sudo dpkg -i *.deb
Jak nainstalovat LibreOffice 7.5.3 na Fedoru, openSUSE a deriváty?
Si používáte systém, který podporuje instalaci balíčků rpm, Tuto novou aktualizaci můžete nainstalovat získáním balíčku rpm ze stránky stahování LibreOffice.
Získali jsme balíček, který jsme rozbalili pomocí:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
A instalujeme balíčky, které složka obsahuje:
sudo rpm -Uvh *.rpm
Jak nainstalovat LibreOffice 7.5.3 na Arch Linux, Manjaro a deriváty?
V případě Archu a jeho odvozených systémů Můžeme nainstalovat tuto verzi LibreOffice, stačí otevřít terminál a zadat:
sudo pacman -Sy libreoffice-fresh