如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
发布的信息关于 在 LibreOffice 办公套件中检测到两个漏洞, 其中之一被认为是最危险的,因为它允许在打开专门设计的文档时执行代码。
第一个漏洞 (已经编入目录 CVE-2023-0950) 是值得注意的,因为它可能会被利用,通过打开包含经过特殊修改的公式的电子表格来允许在系统上执行代码。
有人提到 在受影响的 LibreOffice 版本中,某些电子表格公式 畸形的,与聚合 可以使用比预期更少的参数创建。 该问题是由电子表格处理中使用的公式解析代码(ScInterpreter)中的数组索引下溢引起的。
LibreOffice 电子表格模块 支持采用多个参数的多个公式。 公式由“ScInterpreter”解释,它从堆栈中提取给定公式所需的参数。
第二个漏洞 最危险的是(CVE-2023-2255) 这变得非常重要,因为 允许攻击者准备文档 专门设计的,当打开时没有通知或警告, 将加载外部链接,这与 LibreOffice 的声明行为不符,这意味着在加载相关内容时会出现警告。
在受影响的 LibreOffice 版本中,这些 iframe 在加载主机文档时无需提示即可获取并显示其链接文档。 这与其他链接文档内容的行为不一致,例如 OLE 对象、Writer 的链接部分或警告用户存在链接文档并询问是否应允许更新的 CALC WEBSERVICE 公式。
该问题是由于使用“浮动框架”机制时权限请求代码中的错误导致的,该机制类似于HTML中的iframe,允许将外部文件的内容动态包含在文档中。
最后提到第一个漏洞在已经验证参数计数的 7.4.6 月版本 7.5.1 和 7.4.7 中得到了修复,而第二个漏洞在 LibreOffice 7.5.3 和 XNUMX 的 XNUMX 月更新中得到了修复。 XNUMX,其中现有的更新链接管理器已扩展为额外控制更新 IFrames 内容。
如何安装LibreOffice 7.5.3?
对于那些有兴趣能够更新他们的办公套件的人,他们应该知道他们可能已经在使用最新版本,即 7.5.3 版。
如果您还没有使用这个版本,您可以执行您的发行版的更新命令,或者,在这种情况下,您可以手动执行该过程。 首先 我们必须先卸载以前的版本, 这是为了避免以后出现问题。
为此,我们必须打开一个终端并执行以下命令(例如在 Ubuntu 和衍生产品中):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
现在我们将继续 转到该项目的官方网站 在您的下载部分中,我们可以 获取deb包 以便将其安装在我们的系统中。
完成下载 我们将使用以下命令解压缩新购买的软件包的内容:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
我们输入解压缩后创建的目录,在我的情况下为64位:
cd LibreOffice_7.5.3_Linux_x86-64_deb
然后,我们进入LibreOffice deb文件所在的文件夹:
cd DEBS
最后,我们安装:
sudo dpkg -i *.deb
如何在 Fedora、openSUSE 和衍生产品上安装 LibreOffice 7.5.3?
Si 您使用的系统支持安装rpm软件包, 您可以通过从LibreOffice下载页面获取rpm软件包来安装此新更新。
获得我们解压缩的软件包:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
然后我们安装文件夹包含的软件包:
sudo rpm -Uvh *.rpm
如何在Arch Linux,Manjaro及其衍生版本上安装LibreOffice 7.5.3?
就Arch及其派生系统而言 我们可以安装此版本的LibreOffice,我们只需要打开一个终端并输入:
sudo pacman -Sy libreoffice-fresh