אם מנוצלים, פגמים אלה יכולים לאפשר לתוקפים לקבל גישה לא מורשית למידע רגיש או לגרום לבעיות בדרך כלל
מידע שפורסם על שתי נקודות תורפה שזוהו בחבילת המשרדים של LibreOffice, אחד מהם נחשב למסוכן ביותר, מכיוון שככזה הוא מאפשר ביצוע קוד בעת פתיחת מסמך שתוכנן במיוחד.
הפגיעות הראשונה (כבר מקוטלג תחת CVE-2023-0950) בולט מכיוון שעלול להיות מנוצל על ידי מתן אפשרות לביצוע קוד במערכת על ידי פתיחת גיליון אלקטרוני הכולל נוסחאות ששונו במיוחד.
מוזכר ש בגרסאות מושפעות של LibreOffice, נוסחאות גיליון אלקטרוני מסוימות פגום, עם AGGREGATE ניתן ליצור עם פחות פרמטרים מהצפוי. הבעיה נגרמת כתוצאה מזרימה נמוכה של אינדקס המערך בקוד ניתוח הנוסחה (ScInterpreter) המשמש בעיבוד גיליונות אלקטרוניים.
מודול הגיליון האלקטרוני של LibreOffice תומך במספר נוסחאות שלוקחות פרמטרים מרובים. נוסחאות מתפרשות על ידי 'ScInterpreter' אשר מחלץ את הפרמטרים הנדרשים עבור נוסחה נתונה מחסנית.
הפגיעות השנייה והכי מסוכן הוא (CVE-2023-2255) וזה הופך להיות חשוב ביותר, שכן מאפשר לתוקף להכין מסמך תוכנן במיוחד שכאשר נפתח ללא הודעה או אזהרה, יטען קישורים חיצוניים, שאינם מתאימים להתנהגות המוצהרת של LibreOffice, מה שמרמז על אזהרה בעת טעינת תוכן קשור.
בגירסאות מושפעות של LibreOffice, iframes אלה מקבלים ומציגים את המסמך המקושר שלהם ללא הנחיה בעת טעינת המסמך המארח. זה לא היה עקבי עם ההתנהגות של תוכן מסמכים מקושרים אחרים, כגון אובייקטי OLE, קטעים מקושרים של Writer או נוסחאות CALC WEBSERVICE שמזהירות את המשתמש שיש מסמכים מקושרים ושואלות אם יש לאפשר להם להתעדכן.
הבעיה נגרמת על ידי באג בקוד בקשת ההרשאה בעת שימוש במנגנון "Floating Frames", הדומה ל-iframe ב-HTML ומאפשר לכלול באופן דינמי תוכן מקבצים חיצוניים במסמך.
לבסוף מוזכר כי הפגיעות הראשונה תוקנה ללא הרבה פרסום בגרסאות מרץ 7.4.6 ו-7.5.1 בהן ספירת הפרמטרים כבר מאומתת והחולשה השנייה תוקנה בעדכוני מאי של LibreOffice 7.4.7 ו-7.5.3. XNUMX שבו מנהל קישורי העדכונים הקיים הורחב לשלוט נוסף על עדכון תוכן IFrames.
כיצד להתקין את LibreOffice 7.5.3?
למי שמעוניין להיות מסוגל לעדכן את חבילת המשרד שלהם, כדאי לדעת שייתכן שהם כבר בגרסה העדכנית ביותר, שהיא גרסה 7.5.3.
אם אתה עדיין לא בגרסה זו, אתה יכול לבצע את פקודות העדכון של ההפצה שלך או, במקרה כזה, אתה יכול לעשות את התהליך באופן ידני. בשביל זה קודם עלינו להסיר תחילה את הגרסה הקודמת, זאת על מנת למנוע בעיות מאוחרות יותר.
לשם כך עלינו לפתוח מסוף ולבצע את הפעולות הבאות (למשל באובונטו ובנגזרות):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
עכשיו נמשיך ל עבור לאתר הרשמי של הפרויקט היכן במדור ההורדות נוכל קבל חבילת deb כדי להיות מסוגל להתקין אותו במערכת שלנו.
בוצע ההורדה אנו הולכים לפתוח את תוכן החבילה שזה עתה נרכשה עם:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
אנחנו נכנסים לספרייה שנוצרה לאחר רוכסן, במקרה שלי זה 64 סיביות:
cd LibreOffice_7.5.3_Linux_x86-64_deb
לאחר מכן נעבור לתיקיה בה נמצאים קבצי deb LibreOffice:
cd DEBS
ולבסוף אנו מתקינים עם:
sudo dpkg -i *.deb
כיצד להתקין LibreOffice 7.5.3 על Fedora, openSUSE ונגזרות?
Si אתה משתמש במערכת שתומכת בהתקנת חבילות סל"ד, באפשרותך להתקין עדכון חדש זה על ידי השגת חבילת סל"ד מדף ההורדה של LibreOffice.
השגנו את החבילה שאנו פותחים ממנה:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
ואנחנו מתקינים את החבילות שהתיקייה כוללת:
sudo rpm -Uvh *.rpm
כיצד להתקין את LibreOffice 7.5.3 על Arch Linux, Manjaro ונגזרות?
במקרה של Arch ומערכות הנגזרות שלה אנו יכולים להתקין גרסה זו של LibreOffice, אנו פשוט פותחים מסוף ומקלידים:
sudo pacman -Sy libreoffice-fresh