在流行的免费办公套件中发现了两个关键漏洞,可能会允许攻击者在您的计算机上执行恶意脚本或插件。这些漏洞被赋予了8.3分(满分10分)的高严重性评级,使其成为对用户安全的重大威胁。
漏洞是如何工作的
CVE-2023-6186:此漏洞允许攻击者在用户单击文档中巧尽心思构建的链接时执行任意脚本。这个链接可以伪装成无害的样子,诱骗用户点击它。单击该脚本可用于窃取敏感信息、安装恶意软件或采取其他恶意操作。
CVE-2023-6185:此漏洞允许攻击者在Linux系统上执行Gstreamer多媒体框架的任意插件。这可以通过在文档中嵌入专门设计的视频来实现。当视频打开时,恶意插件可用于访问用户的系统或执行其他有害操作。在LibreOffice Impress演示程序中,用户嵌入视频的情况很可能是这样。
为什么这些很重要?
这些漏洞特别严重,因为它们很容易被攻击者利用。攻击者所需要做的就是创建一个恶意文档并诱骗用户打开它。一旦打开文档,攻击者就可以控制用户的计算机。
这对任何使用LibreOffice的人来说都是一个主要的担忧,因为它是世界各地数百万人使用的流行办公套件。这些漏洞可能被用来攻击个人、企业甚至政府。
已打补丁
幸运的是,LibreOffice已经发布了修复这些漏洞的更新。强烈敦促用户尽快更新到LibreOffice的最新版本。
以下是解决这些漏洞的LibreOffice的最新版本:
- LibreOffice 7.6.4
- LibreOffice 7.5.9
LibreOffice漏洞已在7.6.4+中修补
除了更新LibreOffice,您还可以采取以下步骤来保护自己:
- 打开来自未知来源的文档时要小心。
- 不要单击您不信任的文档中的链接。
- 在LibreOffice中启用“宏安全性”功能。
- 使用可以检测和阻止恶意软件的安全软件程序。
我们建议所有LibreOffice用户尽快更新到软件的最新版本,以保护自己免受这些严重漏洞的攻击。上述修复已经在Debian、Ubuntu和Fedora稳定版本中发布。