Jeśli korzystasz z LibreOffice, zaktualizuj teraz, ponieważ wykryto dwie luki

Darkcrizt

4 minut

wrażliwość

Jeśli zostaną wykorzystane, te luki mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do poufnych informacji lub ogólnie spowodować problemy

Ujawniono informacje o dwie luki wykryte w pakiecie biurowym LibreOffice, jeden z nich jest uważany za potencjalnie najbardziej niebezpieczny, ponieważ jako taki umożliwia wykonanie kodu podczas otwierania specjalnie zaprojektowanego dokumentu.

Pierwsza luka (już skatalogowany pod CVE-2023-0950) jest godne uwagi, ponieważ potencjalnie może zostać wykorzystane przez umożliwienie wykonania kodu w systemie poprzez otwarcie arkusza kalkulacyjnego zawierającego specjalnie zmodyfikowane formuły.

Wspomina się, że w wersjach LibreOffice, których dotyczy problem, niektóre formuły arkuszy kalkulacyjnych zniekształcony, z AGGREGATEM można utworzyć z mniejszą liczbą parametrów niż oczekiwano. Problem jest spowodowany niedopełnieniem indeksu tablicy w kodzie analizującym formułę (ScInterpreter) używanym w przetwarzaniu arkuszy kalkulacyjnych.

Moduł arkusza kalkulacyjnego LibreOffice obsługuje wiele formuł, które przyjmują wiele parametrów. Formuły są interpretowane przez „ScInterpreter”, który wyodrębnia wymagane parametry dla danej formuły ze stosu.

Druga luka a najbardziej niebezpieczne jest (CVE-2023-2255) i staje się to niezwykle ważne, ponieważ umożliwia atakującemu przygotowanie dokumentu specjalnie zaprojektowane, aby po otwarciu bez powiadomienia lub ostrzeżenia załaduje linki zewnętrzne, co nie odpowiada zadeklarowanemu zachowaniu LibreOffice, co oznacza ostrzeżenie podczas ładowania powiązanych treści.

W wersjach LibreOffice, których dotyczy problem, te elementy iframe pobierają i wyświetlają powiązany dokument bez monitowania podczas ładowania dokumentu głównego. Nie było to zgodne z zachowaniem treści innych połączonych dokumentów, takich jak obiekty OLE, połączone sekcje programu Writer lub formuły CALC WEBSERVICE, które ostrzegają użytkownika, że ​​istnieją połączone dokumenty i pytają, czy należy zezwolić na aktualizację.

Problem jest spowodowany błędem w kodzie żądania uprawnień podczas korzystania z mechanizmu „Floating Frames”, który jest podobny do elementu iframe w HTML i umożliwia dynamiczne dołączanie treści z plików zewnętrznych do dokumentu.

Wreszcie wspomniano, że pierwsza luka została naprawiona bez większego rozgłosu w marcowych wersjach 7.4.6 i 7.5.1, w których liczba parametrów została już zweryfikowana, a druga luka została poprawiona w majowych aktualizacjach LibreOffice 7.4.7 i 7.5.3. XNUMX, w którym istniejący menedżer linków aktualizacji został rozszerzony o dodatkową kontrolę nad aktualizacją zawartości ramek IFrame.

Jak zainstalować LibreOffice 7.5.3?

Osoby zainteresowane aktualizacją swojego pakietu biurowego powinny wiedzieć, że mogą już korzystać z najnowszej wersji, czyli wersji 7.5.3.

Jeśli nie korzystasz jeszcze z tej wersji, możesz wykonać polecenia aktualizacji swojej dystrybucji lub w takim przypadku możesz wykonać ten proces ręcznie. za to najpierw musimy najpierw odinstalować poprzednią wersję, ma to na celu uniknięcie późniejszych problemów.

Aby to zrobić, musimy otworzyć terminal i wykonać następujące czynności (na przykład w Ubuntu i pochodnych):

sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove

Teraz przejdziemy do przejdź do oficjalnej strony projektu gdzie w Twojej sekcji pobierania możemy pobierz pakiet deb aby móc go zainstalować w naszym systemie.

Zakończono pobieranie zamierzamy rozpakować zawartość nowo zakupionego pakietu za pomocą:

tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz

Wchodzimy do katalogu utworzonego po rozpakowaniu, w moim przypadku jest to katalog 64-bitowy:

cd LibreOffice_7.5.3_Linux_x86-64_deb

Następnie przechodzimy do folderu, w którym znajdują się pliki deb LibreOffice:

cd DEBS

I na koniec instalujemy z:

sudo dpkg -i *.deb

Jak zainstalować LibreOffice 7.5.3 w Fedorze, openSUSE i pochodnych?

Si używasz systemu, który obsługuje instalowanie pakietów rpm, Możesz zainstalować tę nową aktualizację, pobierając pakiet rpm ze strony pobierania LibreOffice.

Uzyskano paczkę, którą rozpakowujemy:

tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz

I instalujemy pakiety, które zawiera folder z:

sudo rpm -Uvh *.rpm

Jak zainstalować LibreOffice 7.5.3 na Arch Linux, Manjaro i pochodnych?

W przypadku Arch i jego systemów pochodnych Możemy zainstalować tę wersję LibreOffice, po prostu otwieramy terminal i wpisujemy:

sudo pacman -Sy libreoffice-fresh


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.