Đầu tháng này, Tổ chức Tài liệu đã ra mắt LibreOffice 6.2.7 và 6.3.1, cả hai phiên bản bảo trì, trong số các bản sửa lỗi của chúng, đều có một số bản sửa lỗi bảo mật. Cho đến phút cuối cùng của ngày hôm qua, Canonical đã cập nhật các gói từ kho lưu trữ chính thức của họ và sau đó xuất bản báo cáo bảo mật USN-4138-1 điều đó giải thích cho chúng tôi rằng họ đã phát hiện ra vi phạm an ninh khẩn cấp trung bình. Như họ luôn làm và tôi nghĩ là tốt nhất, công ty điều hành Mark Shuttleworth đã báo cáo lỗi bảo mật sau khi họ đã sửa nó.
Lỗ hổng được đề cập trong báo cáo USN-4138-1 là CVE-2019-9854, nó ảnh hưởng đến tất cả các phiên bản Ubuntu được hỗ trợ và nêu chi tiết một lỗ hổng bảo mật khiến LibreOffice không xử lý tốt các tập lệnh được nhúng trong tài liệu, vì vậy nếu họ lừa chúng tôi mở một tài liệu được thiết kế đặc biệt, kẻ tấn công từ xa có thể thực thi mã tùy ý.
LibreOffice 6.2.7 hiện đã có trong kho chính thức của Ubuntu
Một lớp bảo mật đã được thêm vào trong các phiên bản trước để sửa lỗi CVE-2019-9854, nhưng nó có thể bị phá vỡ và bị lợi dụng bởi lỗi LibreOffice. Lỗ hổng này ảnh hưởng đến Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 và thậm chí cả LibreOffice 6.3 từ Ubuntu 19.10, nhưng các phiên bản có sẵn trong kho lưu trữ chính thức đã giải quyết được vấn đề.
Các phiên bản cụ thể bao gồm bản vá chống lại CVE-2019-9854 là:
- v6.2.7 cho Ubuntu 19.04.
- v6.0.7 cho Ubuntu 18.04.
- v5.1.6 cho Ubuntu 16.04.
- v6.3.1 cho Ubuntu 19.10, vẫn đang trong giai đoạn phát triển và sẽ ra mắt bản beta đầu tiên vào ngày mai.
LibreOffice 6.2.7, v6.3.1 và phần còn lại của các phiên bản cập nhật không phải là gói duy nhất được Canonical cập nhật ngày hôm qua vì lý do bảo mật. Đồng thời với những sản phẩm của bộ ứng dụng văn phòng, công ty có trụ sở tại Vương quốc Anh đã tận dụng cơ hội để cập nhật các gói firefox, thêm vào Firefox 69.0.1 cũng sửa lỗi bảo mật. Sau khi tất cả các gói đã được cài đặt, bạn nên khởi động lại máy tính của mình để các thay đổi có hiệu lực.