文档基金会(Document Foundation)今天为其广受欢迎的 LibreOffice 开源办公套件发布了 7.6.2 和 7.5.7 两个安全更新,以解决最近披露的 WebP 编解码器中的一个漏洞。
LibreOffice 7.6.2 和 LibreOffice 7.5.7 更新比原计划提前发布,包含对 CVE 2023-4863 的修复,该漏洞是在广泛使用的 libwebp 库中发现的堆缓冲区溢出,该库用于解码现在流行的 WebP 图形格式。
这个安全问题会影响使用 libwebp 库的所有应用程序,包括 Mozilla Firefox、Chrome/Chromium 或 Edge 等主要网络浏览器。该问题被标记为危急,远程攻击者可通过伪造的 HTML 页面执行越界内存写入。
“打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出。我们注意到这个问题在其他产品中被广泛利用,”Mozilla 的安全团队在一份安全公告中说。
WebP 漏洞现已在上述应用程序的最新版本中得到修补,如果你将你的安装更新到 LibreOffice 7.6.2 或 LibreOffice 7.5.7,WebP 漏洞也已在 LibreOffice 办公套件中得到修补。
根据 RC1 更新日志,LibreOffice 7.6.2 版除了修补这一关键漏洞外,还包含 54 个错误和回归修复,而 LibreOffice 7.5.7 版只有 14 个错误修复。
可以想象,我们强烈建议所有 LibreOffice 用户使用这些更新。LibreOffice 7.6.2 和 LibreOffice 7.5.7 都可以从官方网站下载,它们都是由文档基金会打包的二进制文件,可用于基于 DEB 或 RPM 的发布,也可以下载源代码压缩包。
在此,我想提醒大家,如果想避免此类关键漏洞,请始终保持 GNU/Linux 系统的最新版本。这些新的 LibreOffice 更新也将在未来几天内出现在您的发行版的稳定版本库中,因此请确保您定期更新。
转自 LibreOffice 7.6.2 and 7.5.7 Released to Address Critical WebP Vulnerability – 9to5Linux