Nếu bạn sử dụng bản cập nhật LibreOffice ngay bây giờ, vì hai lỗ hổng đã được phát hiện

Darkcrizt

4 phút

dễ bị tổn thương

Nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào thông tin nhạy cảm hoặc thường gây ra sự cố

Thông tin công bố về hai lỗ hổng được phát hiện trong bộ ứng dụng văn phòng LibreOffice, một trong số chúng được coi là có khả năng nguy hiểm nhất, vì nó cho phép thực thi mã khi mở một tài liệu được thiết kế đặc biệt.

Lỗ hổng đầu tiên (đã được lập danh mục theo CVE-2023-0950) đáng chú ý vì nó có khả năng bị khai thác bằng cách cho phép mã được thực thi trên hệ thống bằng cách mở một bảng tính bao gồm các công thức được sửa đổi đặc biệt.

Nó được đề cập rằng trong các phiên bản LibreOffice bị ảnh hưởng, một số công thức bảng tính nhất định không đúng định dạng, với TỔNG HỢP có thể được tạo với ít tham số hơn dự kiến. Sự cố xảy ra do chỉ mục mảng bị tràn trong mã phân tích cú pháp công thức (ScInterpreter) được sử dụng trong quá trình xử lý bảng tính.

Mô-đun bảng tính LibreOffice hỗ trợ nhiều công thức có nhiều tham số. Các công thức được giải thích bởi 'ScInterpreter' để trích xuất các tham số cần thiết cho một công thức nhất định từ một ngăn xếp.

Lỗ hổng thứ hai và nguy hiểm nhất là (CVE-2023-2255) và điều này trở nên cực kỳ quan trọng, vì cho phép kẻ tấn công chuẩn bị một tài liệu được thiết kế đặc biệt để khi mở ra mà không cần thông báo hoặc cảnh báo, sẽ tải các liên kết bên ngoài, không tương ứng với hành vi đã khai báo của LibreOffice, ngụ ý cảnh báo khi tải nội dung liên quan.

Trong các phiên bản LibreOffice bị ảnh hưởng, các iframe này nhận và hiển thị tài liệu được liên kết của chúng mà không nhắc khi tải tài liệu máy chủ. Điều này không phù hợp với hành vi của nội dung tài liệu được liên kết khác, chẳng hạn như các đối tượng OLE, các phần được liên kết của Trình ghi hoặc công thức CALC WEBSERVICE cảnh báo người dùng rằng có các tài liệu được liên kết và hỏi xem họ có được phép cập nhật hay không.

Sự cố xảy ra do lỗi trong mã yêu cầu quyền khi sử dụng cơ chế "Khung nổi", tương tự như iframe trong HTML và cho phép tự động đưa nội dung từ các tệp bên ngoài vào tài liệu.

Cuối cùng, người ta đề cập rằng lỗ hổng đầu tiên đã được sửa mà không cần công khai nhiều trong các phiên bản tháng 7.4.6 7.5.1 và 7.4.7, trong đó số tham số đã được xác thực và lỗ hổng thứ hai đã được sửa trong các bản cập nhật tháng 7.5.3 của LibreOffice XNUMX và XNUMX. XNUMX trong đó trình quản lý liên kết cập nhật hiện có đã được mở rộng để kiểm soát bổ sung việc cập nhật nội dung IFrames.

Làm thế nào để cài đặt LibreOffice 7.5.3?

Đối với những người quan tâm đến việc có thể cập nhật bộ ứng dụng văn phòng của mình, họ nên biết rằng họ có thể đã sử dụng phiên bản mới nhất, đó là phiên bản 7.5.3.

Nếu bạn chưa sử dụng phiên bản này, bạn có thể thực hiện các lệnh cập nhật của bản phân phối của mình hoặc trong trường hợp đó, bạn có thể thực hiện quy trình theo cách thủ công. cho nó đầu tiên trước tiên chúng ta phải gỡ cài đặt phiên bản trước, điều này là để tránh các vấn đề sau này.

Để làm điều này, chúng ta phải mở một thiết bị đầu cuối và thực hiện các thao tác sau (ví dụ: trong Ubuntu và các công cụ phái sinh):

sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove

Bây giờ chúng ta sẽ tiến hành vào trang web chính thức của dự án nơi trong phần tải xuống của bạn, chúng tôi có thể nhận gói deb để có thể cài đặt nó trong hệ thống của chúng tôi.

Đã tải xong chúng tôi sẽ giải nén nội dung của gói mới mua với:

tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz

Chúng tôi nhập thư mục được tạo sau khi giải nén, trong trường hợp của tôi, nó là 64-bit:

cd LibreOffice_7.5.3_Linux_x86-64_deb

Sau đó, chúng tôi đi đến thư mục chứa các tệp deb LibreOffice:

cd DEBS

Và cuối cùng chúng tôi cài đặt với:

sudo dpkg -i *.deb

Làm thế nào để cài đặt LibreOffice 7.5.3 trên Fedora, openSUSE và các dẫn xuất?

Si bạn đang sử dụng hệ thống có hỗ trợ cài đặt gói rpm, Bạn có thể cài đặt bản cập nhật mới này bằng cách lấy gói rpm từ trang tải xuống LibreOffice.

Nhận được gói mà chúng tôi giải nén bằng:

tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz

Và chúng tôi cài đặt các gói mà thư mục chứa:

sudo rpm -Uvh *.rpm

Làm thế nào để cài đặt LibreOffice 7.5.3 trên Arch Linux, Manjaro và các dẫn xuất?

Trong trường hợp của Arch và các hệ thống dẫn xuất của nó Chúng tôi có thể cài đặt phiên bản LibreOffice này, chúng tôi chỉ cần mở một thiết bị đầu cuối và nhập:

sudo pacman -Sy libreoffice-fresh


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.