LibreOffice 7.6.2 和 7.5.7 发布以解决严重的 WebP 漏洞

这些更新还修复了 LibreOffice 办公套件中发现的各种错误和回归。

Document Foundation 今天为其流行的 LibreOffice 开源办公套件 7.6.2 和 7.5.7 发布了两个安全更新，以解决最近披露的 WebP 编解码器中的漏洞。

LibreOffice 7.6.2 和 LibreOffice 7.5.7 更新比最初计划提前到达，其中包含对CVE 2023-4863 的修复，这是在广泛使用的 libwebp 库中发现的堆缓冲区溢出，该库用于解码现在流行的 WebP 图形格式。

此安全问题影响所有使用 libwebp 库的应用程序，包括Mozilla Firefox、Chrome/Chromium 或 Edge 等主要 Web 浏览器。它被标记为关键，它可能允许远程攻击者通过精心设计的 HTML 页面执行越界内存写入。“打开恶意 WebP 图像可能会导致内容进程中的堆缓冲区溢出。我们意识到这个问题正在其他产品中被利用，”Mozilla 的安全团队在

安全公告中表示。

WebP 漏洞现已在上述应用程序的最新版本中得到修补，如果您将安装更新到 LibreOffice 7.6.2 或 LibreOffice 7.5.7，它现在​​也在 LibreOffice 办公套件中得到修补。

根据 RC1 变更日志，除了修补这个关键漏洞之外，LibreOffice 7.6.2 版本还包含 54 个错误和回归修复，而根据RC1变更日志，LibreOffice 7.5.7 仅包含 14 个错误修复。

正如您可以想象的那样，强烈建议所有 LibreOffice 用户使用这些更新。LibreOffice 7.6.2 和 LibreOffice 7.5.7 都可以从官方网站下载，作为 The Document Foundation 打包的用于 DEB 或基于 RPM 的发行版的二进制文件以及源 tarball。

在此，我想提醒您，如果您想免受此类严重漏洞的影响，请始终保持您的 GNU/Linux 系统处于最新状态。这些新的 LibreOffice 更新也将在未来几天到达您发行版的稳定存储库，因此请确保定期更新。