Si elles sont exploitées, ces failles peuvent permettre aux attaquants d’obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
Informations diffusées sur deux vulnérabilités détectées dans la suite bureautique LibreOffice, l’un d’eux est considéré comme potentiellement le plus dangereux, puisqu’en tant que tel, il permet l’exécution de code lors de l’ouverture d’un document spécialement conçu.
La première vulnérabilité (déjà catalogué sous CVE-2023-0950) est remarquable car cela pourrait potentiellement être exploité en permettant l’exécution de code sur le système en ouvrant une feuille de calcul qui comprend des formules spécialement modifiées.
Il est mentionné que dans les versions concernées de LibreOffice, certaines formules de feuille de calcul malformé, avec AGGREGATE pourrait être créé avec moins de paramètres que prévu. Le problème est causé par un sous-dépassement de l’index de tableau dans le code d’analyse de formule (ScInterpreter) utilisé dans le traitement des feuilles de calcul.
Le module tableur de LibreOffice prend en charge plusieurs formules qui prennent plusieurs paramètres. Les formules sont interprétées par ‘ScInterpreter’ qui extrait les paramètres requis pour une formule donnée à partir d’une pile.
La deuxième vulnérabilité et le plus dangereux est (CVE-2023-2255) et cela prend une grande importance, puisque permet à un attaquant de préparer un document spécialement conçu pour que, lorsqu’il est ouvert sans préavis ni avertissement, chargera les liens externes, ce qui ne correspond pas au comportement déclaré de LibreOfficece qui implique un avertissement lors du chargement du contenu associé.
Dans les versions concernées de LibreOffice, ces iframes obtiennent et affichent leur document lié sans invite lors du chargement du document hôte. Cela n’était pas cohérent avec le comportement d’autres contenus de documents liés, tels que les objets OLE, les sections liées de Writer ou les formules CALC WEBSERVICE qui avertissent l’utilisateur qu’il existe des documents liés et demandent s’ils doivent être autorisés à se mettre à jour.
Le problème est causé par un bogue dans le code de demande d’autorisation lors de l’utilisation du mécanisme “Floating Frames”, qui est similaire à un iframe en HTML et permet d’inclure dynamiquement le contenu de fichiers externes dans le document.
Enfin, il est mentionné que la première vulnérabilité a été corrigée sans grande publicité dans les versions de mars 7.4.6 et 7.5.1 dans lesquelles le nombre de paramètres est déjà validé et la deuxième vulnérabilité a été corrigée dans les mises à jour de mai de LibreOffice 7.4.7 et 7.5. 3 dans lequel le gestionnaire de liens de mise à jour existant a été étendu pour contrôler en plus la mise à jour du contenu des IFrames.
Comment installer LibreOffice 7.5.3 ?
Pour ceux qui souhaitent pouvoir mettre à jour leur suite bureautique, ils doivent savoir qu’ils sont peut-être déjà sur la version la plus récente, qui est la version 7.5.3.
Si vous n’êtes pas encore sur cette version, vous pouvez exécuter les commandes de mise à jour de votre distribution ou, dans ce cas, vous pouvez faire le processus manuellement. pour ça d’abord il faut d’abord désinstaller la version précédente, ceci afin d’éviter des problèmes ultérieurs.
Pour ce faire, nous devons ouvrir un terminal et exécuter ce qui suit (par exemple dans Ubuntu et dérivés):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
Nous allons maintenant procéder à aller sur le site officiel du projet où dans sa section de téléchargement, nous pouvons obtenir le package deb pour pouvoir l’installer sur notre système.
téléchargement terminé Nous allons décompresser le contenu du package nouvellement acquis avec :
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
On entre dans le répertoire créé après décompression, dans mon cas c’est celui 64 bits :
cd LibreOffice_7.5.3_Linux_x86-64_deb
Ensuite, nous entrons dans le dossier où se trouvent les fichiers deb de LibreOffice :
cd DEBS
Et enfin on installe avec :
sudo dpkg -i *.deb
Comment installer LibreOffice 7.5.3 sur Fedora, openSUSE et dérivés ?
Ouais vous utilisez un système qui a le support pour pouvoir installer des packages rpm, vous pouvez installer cette nouvelle mise à jour en récupérant le package rpm depuis la page de téléchargement de LibreOffice.
Obtenu le package que nous avons décompressé avec :
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
Et on installe les packages que contient le dossier avec :
sudo rpm -Uvh *.rpm
Comment installer LibreOffice 7.5.3 sur Arch Linux, Manjaro et dérivés ?
Dans le cas d’Arch et de ses systèmes dérivés on peut installer cette version de LibreOffice, on ouvre juste un terminal et on tape :
sudo pacman -Sy libreoffice-fresh
