如果被利用,這些漏洞可能允許攻擊者未經授權訪問敏感信息或通常會導致問題
發布的信息關於 在 LibreOffice 辦公套件中檢測到兩個漏洞, 其中之一被認為是最危險的,因為它允許在打開專門設計的文檔時執行代碼。
第一個漏洞 (已經編入目錄 CVE-2023,0950) 是值得注意的,因為它可能會被利用,通過打開包含經過特殊修改的公式的電子表格來允許在系統上執行代碼。
有人提到 在受影響的 LibreOffice 版本中,某些電子表格公式 畸形的,與聚合 可以使用比預期更少的參數創建。 該問題是由電子表格處理中使用的公式解析代碼(ScInterpreter)中的數組索引下溢引起的。
LibreOffice 電子表格模塊 支持採用多個參數的多個公式。 公式由“ScInterpreter”解釋,它從堆棧中提取給定公式所需的參數。
第二個漏洞 最危險的是(CVE-2023,2255) 這變得非常重要,因為 允許攻擊者準備文檔 專門設計的,當打開時沒有通知或警告, 將加載外部鏈接,這與 LibreOffice 的聲明行為不符,這意味著在加載相關內容時會發出警告。
在受影響的 LibreOffice 版本中,這些 iframe 在加載主機文檔時無需提示即可獲取並顯示其鏈接文檔。 這與其他鏈接文檔內容的行為不一致,例如 OLE 對象、Writer 的鏈接部分或警告用戶存在鏈接文檔並詢問是否應允許更新的 CALC WEBSERVICE 公式。
該問題是由於使用“浮動框架”機制時權限請求代碼中的錯誤導致的,該機制類似於HTML中的iframe,允許將外部文件的內容動態包含在文檔中。
最後提到第一個漏洞在已經驗證參數計數的 7.4.6 月版本 7.5.1 和 7.4.7 中得到了修復,而第二個漏洞在 LibreOffice 7.5.3 和 XNUMX 的 XNUMX 月更新中得到了修復。 XNUMX,其中現有的更新鏈接管理器已擴展為額外控制更新 IFrames 內容。
如何安裝LibreOffice 7.5.3?
對於那些有興趣能夠更新他們的辦公套件的人,他們應該知道他們可能已經在使用最新版本,即 7.5.3 版。
如果您還沒有使用此版本,則可以執行發行版的更新命令,或者在這種情況下,您可以手動執行該過程。 首先 我們必須先卸載以前的版本, 這是為了避免以後出現問題。
為此,我們必須打開一個終端並執行以下命令(例如在 Ubuntu 和衍生產品中):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
現在我們將繼續 轉到該項目的官方網站 在您的下載部分中,我們可以 得到deb包 以便將其安裝在我們的系統中。
完成下載 我們將使用以下命令解壓縮新購買的軟件包的內容:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
我們輸入解壓縮後創建的目錄,在我的情況下為64位:
cd LibreOffice_7.5.3_Linux_x86-64_deb
然後,我們進入LibreOffice deb文件所在的文件夾:
cd DEBS
最後,我們安裝:
sudo dpkg -i *.deb
如何在 Fedora、openSUSE 和衍生產品上安裝 LibreOffice 7.5.3?
Si 您使用的系統支持安裝rpm軟件包, 您可以通過從LibreOffice下載頁面獲取rpm軟件包來安裝此新更新。
獲得我們解壓縮的軟件包:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
然後我們安裝文件夾包含的軟件包:
sudo rpm -Uvh *.rpm
如何在Arch Linux,Manjaro及其衍生版本上安裝LibreOffice 7.5.3?
就Arch及其派生系統而言 我們可以安裝此版本的LibreOffice,我們只需要打開一個終端並輸入:
sudo pacman -Sy libreoffice-fresh