The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP

26.09.2023 23:23

Организация The Document Foundation объявила о публикации внеплановых корректирующих выпусков офисного пакета LibreOffice 7.6.2 и 7.5.7, который оказался подвержен уязвимости (CVE-2023-4863, CVE-2023-5129) в библиотеке libwebp. LibreOffice поддерживает вставку изображений в формате WebP и использует для их обработки уязвимый код из библиотеки libwebp. Уязвимость позволяет добиться выполнения кода злоумышленника при обработке в LibreOffice специально оформленных данных в формате WebP.

Уязвимость в libwebp затрагивает Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. Например, косвенно уязвимость затронула такие популярные приложения, как Discord, GitHub Desktop, Mattermost, Signal, Edge, Brave, Opera, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram. Для тестирования публично доступен прототип эксплоита.

  1. Главная ссылка к новости (https://blog.documentfoundatio...)
  2. OpenNews: Обновление Firefox 117.0.1 с устранением уязвимости в WebP
  3. OpenNews: Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
  4. OpenNews: Проект LibreOffice перешёл на привязанную к датам нумерацию версий
  5. OpenNews: Выпуск офисного пакета LibreOffice 7.6
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59823-libreoffice
Ключевые слова: libreoffice, webp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:42, 26/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Подождите, но все обновлялись почти две недели назад
    Либра так долго тянула просто с обновлением либы?
     
     
  • 2.4, Аноним (4), 00:38, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    виндузятники должны страдать

    https://packages.debian.org/bookworm/libreoffice-core
    libreoffice-core (4:7.4.7-1)
    dep: libwebp7 (>= 1.2.4)
    Пакет: libwebp7 (1.2.4-0.2+deb12u1) [security]
    bookworm (security) 1.2.4-0.2+deb12u1 fixed
    13 Sep 2023

     
     
  • 3.26, Аноним (26), 10:31, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В настоящем офисе такого бага не было и чинить нечего.
     
     
  • 4.33, Аноним (4), 21:12, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в 97 что ля?
     
  • 2.11, Аноним (-), 03:34, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал. Или о прелести пакетного менеджмента в линухе :)

    А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер. Они все равно на другое не способны.

     
     
  • 3.12, Аноним (12), 04:02, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер.

    Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack - скоро будет и на линуксах счастье.

     
     
  • 4.14, User (??), 06:03, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Атомарно обновляемые дистрибутивы (не путать с Base system freebsd! Эта другое!) забыл - чтоб совсем уж захорошело.
     
  • 4.17, Аноним (17), 07:05, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack -
    > скоро будет и на линуксах счастье.

    Да, сделать маздай при сильном желании можно и из линуха если постараться. Но у меня этого всего не будет. Потому что маздая я наелся в маздае.

     
     
  • 5.31, pofigist (?), 14:39, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На фряху свалишь разве что...
     
     
  • 6.34, Аноним (-), 21:50, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > На фряху свалишь разве что...

    Да мне и на линуксе нормально. Это как раз более-менее работающая система, с поддержкой железа и проч, где не надо рассказывать про виндочки и прочее.

    И за энное количество лет я малость научился этих кошек готовить. Поэтому если вы думаете что сможете мне что-то в мою систему без моего согласия напихать - я отвечаю "попробуйте". И посмотрим что у вас получится.

    А от ваших BSD мне ничего не надо, отношения master-slave мне не подходят. Особенно в пассивной то роли.

     
  • 3.16, penetrator (?), 06:59, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как же флатпаки и сноупоки?
     
     
  • 4.18, Аноним (17), 07:06, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > как же флатпаки и сноупоки?

    А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.

     
     
  • 5.19, penetrator (?), 07:10, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> как же флатпаки и сноупоки?
    > А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.

    у меня тоже нету, но у других есть

    и кстати электрон то есть? не может чтобы ниодного приложения не было

     
     
  • 6.20, Аноним (-), 07:54, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>> как же флатпаки и сноупоки?
    >> А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.
    > у меня тоже нету, но у других есть

    И чего? Вон "другие" вообще на Darwin Awards номинировались шикарными способами. Совершенно не обязывает меня следовать их примерам.

    В линухе культурно менеждить ОС и не разводить помойку - можно. В винде - с этим трабл на самом фундаментальном уровне: система не предоставляет программам никаких либ кроме может пары вариантов crt. А даже zlib какой тривиальный - вы уже там сами берите гже хотите. Поэтому его у каждой программы по своей копии. А если его обновить приперло - вот это попадос, способов проверить что они все обновлены вообще нет. И поэтому всегда есть риск что кто-то где-то трахнет эксплойтом не отапдейченую программу. И с этим малореально что-то сделать.

    > и кстати электрон то есть? не может чтобы ниодного приложения не было

    Да вот - может. Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму. И никакой электрон и софт на нем мне даром не уперся. И между прочим за счет этого мой быстрый комп остается быстрым. А не показывает как можно тормозить хуже чем первопень на железе в сто раз мощнее. Мне от кодеров на электроне ничего не нужно. Но если они хотят меня порадовать - могут сдохнуть, например. Или пойти рассаду выращивать.

     
     
  • 7.28, Аноним (28), 13:03, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму.

    Ааа, краснозенковый конпилятель. Живой пример почему линукс непопулярен на десктопах.
    Только непонятно чем ты хвалишься - так-то и в винде можно самому сконпилять софт с обновленной либой, лол (просто ты в виду врождённой природной ограниченности до этой простой мысли не додумался).

    > Я инсталлирую либо софт из репов дистро

    То есть ждёшь, пока мейнтейнер (какой-то неизвестный полупокер, который даже обычно не создатель программы) сконпиляет под конкретно твой дистриб, а до этого сидишь дырявым (или сам конпиляешь)? Ооо, ну это намного безопаснее, дооооо.

     
     
  • 8.35, Аноним (-), 22:06, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Представляешь, чувак, я не буду жр ть г вно даже если ты притащишь миллион свиде... большой текст свёрнут, показать
     
  • 7.43, penetrator (?), 10:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И никакой электрон и софт на нем мне даром не
    > уперся. И между прочим за счет этого мой быстрый комп остается
    > быстрым. А не показывает как можно тормозить хуже чем первопень на
    > железе в сто раз мощнее. Мне от кодеров на электроне ничего
    > не нужно. Но если они хотят меня порадовать - могут сдохнуть,
    > например. Или пойти рассаду выращивать.

    давай предположим что тебе нужен дестопный клиент Signal, или аналог, а они все на электроне запилены, что Wire, что Threema, Whatsapp  и тд

    ты будешь собирать сам? ну ок так все равно же электрон, и все равно дыра которая в статье описана  

     
  • 4.24, another_one (ok), 08:31, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У снапа вроде общие образы core18, core20 и т.д. разве не в них обновляются системные либы?
     
  • 3.25, пох. (?), 09:05, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.

    ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?

    > Или о прелести пакетного менеджмента в линухе :)

    причем бы тут - пакетный менеджмент? Ты точно так же можешь обновить любую одиночную библиотеку в каком-нибудь lfs, где нет никаких пакетов. Или в вообще монолитной (нет) freebsd (правда последние лет пять там это немодно и осуждается коллективом грантопилов - но все еще технически возможно)

    Чего ты не сможешь - это собрать хромонога распоследней (с миллионом исправленных уязвимостей в основном коде а не 3-d party) версии с этими самыми библиотеками. Потому что он требует наисвежайших, а у тебя, смотри, смотри, либненужноненужноененужно.so - позавчерашняя. А поменять ее ты просто так тоже не можешь - рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.

    И объяснить обезьянской сборочной системе на очередном модном язычке что вот же она, рядом с той лежит, только чуть в сторонке - уже тоже почти невозможно.

    И остается только два подхода - либо включать все зависимости в сборку, либо флэтшлак или шляп.
    Результат довольно очевиден.

    А других разработчиков, умеющих в совместимость, у меня для вас лет десять уже нет. Они пиццей торгуют и не парятся что мука несовместима с беконом. В конце-концов всегда можно найти других поставщиков ингредиентов.

     
     
  • 4.38, Аноним (4), 14:19, 28/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.
    > ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?

    конечно, если дистр нормальный, то в репе все будет обновлено и либа и браузеры (где защита либа)...
    тебе, если ты ответственный админ или неуловимый джо, надо подписаться на security-tracker.debian.org

     
  • 4.42, Аноним (42), 12:58, 29/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.

    Так туда ему и дорога, раз с последней версией зависимости не совместим.

     
  • 3.27, Аноним (28), 12:51, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты еще скажи, что у тебя приложений на элохтроне нету и что ты не сидишь как заяц и не ждёшь пока более разумные существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою васяносборку ненужного-на-десктопе (под названием дистрибутив)).
     
     
  • 4.36, Аноним (-), 01:22, 28/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты еще скажи, что у тебя приложений на элохтроне нету и что
    > ты не сидишь как заяц и не ждёшь пока более разумные
    > существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою
    > васяносборку ненужного-на-десктопе (под названием дистрибутив)).

    Если это была попытка троллить то она какая-то лажовая и бездарная получилась. Дыры то в результате 2 недели не у меня были :)

     
  • 3.37, iPony129412 (?), 03:32, 28/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А гордые дебианщики с вечно дырявым Chromium на что способны?

    А в Ubuntu c дырявым Thunderbird?

    А в Debian с дырявым VLC, потому что в апстриме не пометили исправление как секурное?

    Хотя во всех этих случаях на Windows понятное дело проблемы не было.

     
     
  • 4.39, Аноним (4), 14:20, 28/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя какой-то видимо альтернативный дебиан.
     
  • 3.40, Тот_Самый_Анонимус_ (?), 06:49, 29/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Они все равно на другое не способны.

    Будто бы обновление в линухе — твоя заслуга. Ты просто дешёвый понтарь, вся суть гордости которого в том, что твои «более разумные существа» в данном случае оказались расторопнее.

    Гордый заяц, бгг.

     

  • 1.2, Аноним (2), 00:01, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К сожалению, подобные логические ошибки никакой Раст не выловит.
     
     
  • 2.3, Анонин (?), 00:07, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP

    Ну-ну...

     
     
  • 3.22, Аноним (22), 08:29, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раст то уже существует почему он не пришел на помощь?
     
     
  • 4.29, Аноним (28), 13:10, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раст от логических ошибок не защитит. Мысли он не читает, собственным разумом не обладает и узнать, что твой алгоритм делает не то, что ты хотел - не может. Как и любой другой ЯП. Ваш кэп.
     

  • 1.5, Аноним (5), 01:08, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а еще сколько электронщины не обновилось
     
  • 1.6, Аноним (6), 01:18, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так это гуглоиды закладку и сделали. Лучше держаться подальше от их поделок.
     
     
  • 2.13, Аноним (12), 04:08, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так это гуглоиды закладку и сделали.

    Все правильно: настоящий сишник не обделывается - настоящий сишник ставит закладку.

     
     
  • 3.15, User (??), 06:06, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Под угрозами рептилоидов из rhbm из гулага по заданию АНБ - то есть нивиноватые оне!
     

  • 1.7, Аноним (7), 01:34, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот что значит - бандловать/статически линковать зависимости вместо использования пакетного менеджера.
     
  • 1.9, Аноним (9), 01:46, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > уязвимость вызвана переполнением буфера

    Что не уязвимость, то почти всегда "переполнение буфера".

     
  • 1.10, Herrasim Muhmuh (?), 02:17, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну дела!
    Разработка не в состоянии большие буфера сделать!
    Доколе???
     
     
  • 2.30, Аноним (30), 13:39, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Буфера это эти самые - (. )( .) ?
    Откуда вы знаете, что разработчики не в состоянии? Может как раз с этого все и началось. Сейчас это модно..
     

  • 1.21, Аноним (21), 08:22, 27/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С таким подходом MS Office не обгонят.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру