Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP
Организация The Document Foundation объявила о публикации внеплановых корректирующих выпусков офисного пакета LibreOffice 7.6.2 и 7.5.7, который оказался подвержен уязвимости (CVE-2023–4863, CVE-2023–5129) в библиотеке libwebp. LibreOffice поддерживает вставку изображений в формате WebP и использует для их обработки уязвимый код из библиотеки libwebp. Уязвимость позволяет добиться выполнения кода злоумышленника при обработке в LibreOffice специально оформленных данных в формате WebP.
Уязвимость в libwebp затрагивает Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. Например, косвенно уязвимость затронула такие популярные приложения, как Discord, GitHub Desktop, Mattermost, Signal, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram. Для тестирования публично доступен прототип эксплоита.
Источник: http://www.opennet.ru/opennews/art.shtml? num=59823
© OpenNet
