Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Informácie zverejnené o dve zraniteľnosti zistené v kancelárskom balíku LibreOffice, jeden z nich sa považuje za potenciálne najnebezpečnejší, pretože ako taký umožňuje spustenie kódu pri otvorení špeciálne navrhnutého dokumentu.
Prvá zraniteľnosť (už katalogizované pod CVE-2023 0950,) je pozoruhodný, pretože by sa mohol potenciálne zneužiť tým, že by sa umožnilo spustenie kódu v systéme otvorením tabuľky, ktorá obsahuje špeciálne upravené vzorce.
Je to spomenuté v dotknutých verziách LibreOffice určité vzorce tabuliek poškodený, s AGGREGATE možno vytvoriť s menším počtom parametrov, ako sa očakávalo. Problém je spôsobený podtečením indexu poľa v kóde analýzy vzorcov (ScInterpreter), ktorý sa používa pri spracovaní tabuliek.
Modul tabuľkového procesora LibreOffice podporuje viacero vzorcov, ktoré preberajú viacero parametrov. Vzorce sú interpretované pomocou „ScInterpreter“, ktorý extrahuje požadované parametre pre daný vzorec zo zásobníka.
Druhá zraniteľnosť a najnebezpečnejšie je (CVE-2023 2255,) a to sa stáva mimoriadne dôležitým, pretože umožňuje útočníkovi pripraviť dokument špeciálne navrhnuté tak, aby pri otvorení bez upozornenia alebo varovania, načíta externé odkazy, čo nezodpovedá deklarovanému správaniu LibreOffice, čo znamená upozornenie pri načítavaní súvisiaceho obsahu.
V ovplyvnených verziách LibreOffice tieto prvky iframe získajú a zobrazia svoj prepojený dokument bez výzvy pri načítaní hostiteľského dokumentu. Toto nebolo v súlade so správaním obsahu iného prepojeného dokumentu, ako sú napríklad objekty OLE, prepojené sekcie aplikácie Writer alebo vzorce CALC WEBSERVICE, ktoré varujú používateľa, že existujú prepojené dokumenty, a pýtajú sa, či im má byť povolená aktualizácia.
Problém je spôsobený chybou v kóde žiadosti o povolenie pri používaní mechanizmu „plávajúcich rámcov“, ktorý je podobný prvku iframe v HTML a umožňuje dynamické začlenenie obsahu z externých súborov do dokumentu.
Nakoniec sa uvádza, že prvá zraniteľnosť bola opravená bez väčšej publicity v marcových verziách 7.4.6 a 7.5.1, v ktorých je počet parametrov už overený a druhá zraniteľnosť bola opravená v májových aktualizáciách LibreOffice 7.4.7 a 7.5.3. XNUMX, v ktorom bol existujúci správca prepojenia aktualizácie rozšírený o dodatočnú kontrolu aktualizácie obsahu prvkov IFrame.
Ako nainštalovať LibreOffice 7.5.3?
Pre tých, ktorí majú záujem o aktualizáciu svojho kancelárskeho balíka, by mali vedieť, že už môžu mať najaktuálnejšiu verziu, ktorou je verzia 7.5.3.
Ak ešte nepoužívate túto verziu, môžete vykonať aktualizačné príkazy vašej distribúcie alebo v takom prípade môžete tento proces vykonať manuálne. za to najprv najprv musíme odinštalovať predchádzajúcu verziu, je to preto, aby sa predišlo neskorším problémom.
Aby sme to dosiahli, musíme otvoriť terminál a vykonať nasledovné (napríklad v Ubuntu a derivátoch):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
Teraz pristúpime k prejdite na oficiálnu webovú stránku projektu kde v sekcii na stiahnutie môžeme získať deb balík aby sme ho mohli nainštalovať do nášho systému.
Hotovo rozbalíme obsah novo zakúpeného balíka pomocou:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
Zadáme adresár vytvorený po rozbalení, v mojom prípade je to 64-bit:
cd LibreOffice_7.5.3_Linux_x86-64_deb
Potom prejdeme do priečinka, kde sú deb súbory LibreOffice:
cd DEBS
A nakoniec nainštalujeme pomocou:
sudo dpkg -i *.deb
Ako nainštalovať LibreOffice 7.5.3 na Fedoru, openSUSE a deriváty?
Si používate systém, ktorý podporuje inštaláciu balíkov rpm, Túto novú aktualizáciu môžete nainštalovať získaním balíka rpm zo stránky na stiahnutie LibreOffice.
Získali sme balíček, ktorý sme rozbalili pomocou:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
A inštalujeme balíčky, ktoré priečinok obsahuje, s:
sudo rpm -Uvh *.rpm
Ako nainštalovať LibreOffice 7.5.3 na Arch Linux, Manjaro a deriváty?
V prípade Archu a odvodených systémov Môžeme si nainštalovať túto verziu LibreOffice, otvoríme terminál a napíšeme:
sudo pacman -Sy libreoffice-fresh