Две уязвимости в LibreOffice
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, наиболее опасная из которых потенциально позволяет выполнить код при открытии специально оформленного документа. Первая уязвимость была без лишней огласки устранена в мартовских выпусках 7.4.6 и 7.5.1, а вторая в
майских обновлениях LibreOffice 7.4.7 и 7.5.3.
Первая уязвимость (CVE-2023-0950) потенциально позволяет добиться выполнения своего кода в системе при открытии электронной таблицы, включающей специально модифицированные формулы, такие как AGGREGATE, в которых передано меньше параметров, чем ожидается. Проблема вызвана переполнением индекса массива через нижнюю границу (underflow) в коде разбора формул (ScInterpreter), применяемом при обработке электронных таблиц.
Вторая уязвимость (CVE-2023-2255) позволяет атакующему подготовить специально оформленный документ, при открытии которого без вывода запроса и предупреждения будут загружены внешние ссылки, что не соответствует заявленному поведению LibreOffice, подразумевающему вывод предупреждения при загрузке связанного содержимого. Проблема вызвана недоработкой в коде запроса полномочий при использовании механизма "Floating Frames", похожего на iframe в HTML и позволяющего динамически включать содержимое внешних файлов в документ.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.libreoffice.org/ab...)
- OpenNews: Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом
- OpenNews: Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости
- OpenNews: Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов
- OpenNews: Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа
- OpenNews: Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи
Похожие новости:
- Обновление LibreOffice 7.4.5 с устранением сбоя, затрагивающего многих пользователей
- Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом
- Началось платное распространение LibreOffice через Mac App Store
- Увидел свет CODE 22.5, дистрибутив для развёртывания LibreOffice Online
- Вариант LibreOffice, скомпилированный в WebAssembly и работающий в web-браузере
- За неделю загружено 675 тысячи копий LibreOffice 7.3
- Выпуск офисного пакета LibreOffice 7.3
- Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости
- В Германии планируют перевести 25 тысяч ПК в госучреждениях на Linux и LibreOffice
- Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи
Теги для поиска: #_libreoffice
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 15:08
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, наиболее опасная из которых потенциально позволяет выполнить код при открытии специально оформленного документа. Первая уязвимость была без лишней огласки устранена в мартовских выпусках 7.4.6 и 7.5.1, а вторая в майских обновлениях LibreOffice 7.4.7 и 7.5.3. Первая уязвимость (CVE-2023-0950) потенциально позволяет добиться выполнения своего кода в системе при открытии электронной таблицы, включающей специально модифицированные формулы, такие как AGGREGATE, в которых передано меньше параметров, чем ожидается. Проблема вызвана переполнением индекса массива через нижнюю границу (underflow) в коде разбора формул (ScInterpreter), применяемом при обработке электронных таблиц. Вторая уязвимость (CVE-2023-2255) позволяет атакующему подготовить специально оформленный документ, при открытии которого без вывода запроса и предупреждения будут загружены внешние ссылки, что не соответствует заявленному поведению LibreOffice, подразумевающему вывод предупреждения при загрузке связанного содержимого. Проблема вызвана недоработкой в коде запроса полномочий при использовании механизма "Floating Frames", похожего на iframe в HTML и позволяющего динамически включать содержимое внешних файлов в документ. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 15:08
Часовой пояс: UTC + 5