LibreOffice 4.3.1

LibreOffice logó A The Document Foundation bejelentette a LibreOffice 4.3-as, „friss” sorozat első hibajavító kiadását, a LibreOffice 4.3.1-et, amely több mint 100 hibát javít, köztük két CVE-számmal ellátott biztonsági problémát is. A biztonsági problémák javítását a 4.2.6-os verzió is soron kívül megkapta, abból is elérhetők az új binárisok 4.2.6-secfix néven. Minden LibreOffice-felhasználónak javasolt a frissítés, azoknak is, akik az augusztus 5-én megjelent LibreOffice 4.2.6-ot használják.

A LibreOffice 4.3.1-ben javított hibák listája két részletben érhető el: RC1 és RC2. A LibreOffice 4.3.1-ben és 4.2.6-ban javított biztonsági hibák a következők voltak:

  • CVE­-2014­-3524 “CSV Command Injection and DDE formulas”
  • CVE­-2014­-3575 “Arbitrary File Disclosure using crafted OLE objects”

A LibreOffice 4.3.1 és a LibreOffice 4.2.6 a berni LibreOffice konferencián élőben is be fog mutatkozni szeptember 3. és 5. között. A konferencia programjában rengeteg előadás szerepel a fejlesztés, közösség, marketing és migráció témájában. Az angol nyelvű előadások mellett lesz egy német szekció is, amely az ausztriai, németországi és svájci közigazgatási és vállalati nyílt forrású projektekről fog szólni.

Biztonsági hiba javítása (CVE-2011-2713)

A Document Foundation (TDF) ma nyilvánosságra hozta egyes biztonsági hibák részleteit, amelyek a nemrég kiadott LibreOffice 3.4.3-ban lettek kijavítva. Az iparágban szokásos gyakorlat szerint a hibák nyilvánosságra hozásával vártak, hogy a felhasználóknak legyen idejük áttérni a javított verzióra. A LibreOffice kereskedelmi disztribútorai a javított kiadásokat már korábban elkészítették, és felhasználóikhoz eljuttatták.

A RedHat biztonsági szakembere, Huzaifa Sidhpurwala talált egy memóriakezelési hibát a LibreOffice Microsoft Office-dokumentumokat kezelő kódrészletében. A hiba elméletben kihasználható, egy speciálisan összeállított dokumentum segítségével például vírus telepíthető a számítógépre. A sebezhetőség leírása a CVE-2011-2713 szám alatt, „out of bounds property read in binary .doc filter” címmel található meg az adatbázisokban.

A LibreOffice 3.4.3 ezen kívül más potenciális biztonsági réseket is befoltoz. Javult a Windows Metafile (.wmf) és a Windows Enhanced Metafile (.emf) képformátumok betöltésének kódja, miután a fejlesztők kijavították a „fuzz testing” módszerrel felszínre került hibákat. Az általános kódtisztítási munka eredményeként is több hasonló javításra került sor. A biztonsági hibák javítása ebben a kiadásban nagyrészt Caolán McNamara (RedHat) és Marc-André Laverdière (Tata Consultancy Services) érdeme.