Elérhető a LibreOffice 7.6.2 és 7.5.7 Community verziója, az önkéntesek által támogatott nyílt forrású irodai programcsomag új kritikus hibát is javító hibajavító verziója. A LibreOffice Technology platformra épülő csomag asztali, mobil és felhőalapú környezetekben biztosít számos interoperabilitási fejlesztést a Microsoft zárt fájlformátumaihoz most legfontosabb frissítésként a libwebp programkönyvtárban található CVE-2023-4863 sérülékenységet javítja.
Újdonságok
- Nem csak a CVE-2023-4863 sérülékenység hiba javítása miatt érdemes frissíteni, de ezzel most nem érdemes várni.
Ez a verzió további hibajavításokat és dokumentumkompatibilitási fejlesztéseket is tartalmaz.
Ahogyan arról már írtunk: a leggyengébb láncszem ezúttal a libwebp alkalmazáskönytár volt, amelyben az Apple Security Engineering and Architecture (SEAR) és a The Citizen Lab biztonsági kutatói fedeztek fel a CVE-2023-4863 néven jegyzett hibát. A WebP egy képformátum, amit a Google fejlesztett ki, és célja a képek hatékony tömörítése és átvitele az interneten. A WebP a veszteséges és veszteségmentes tömörítési módszereket is támogatja, ami azt jelenti, hogy a képek minősége csökkenhet a tömörítés során, de kisebb fájlméreteket eredményez. A WebP formátumot különösen a weboldalak sebességének növelése érdekében alkalmazzák, mivel azáltal csökkenthető a képek letöltési ideje, ami javíthatja a felhasználói élményt.
Hogy mi is történik – egyszerűen elmagyarázva
Képzeld el, hogy van egy polcod, amely csak 5 könyvet tud befogadni. Ez a polc pontosan erre az 5 könyvre való, és nem többre. Most mi történik, ha megpróbálsz erőszakkal elhelyezni egy 6. könyvet? A polc eltörhet, vagy a 6. könyv kiszoríthat egy másik könyvet a polcról, igaz? Ez a „túlcsordulás” lényege – megpróbálsz többet betenni valamibe, mint amennyire azt tervezték.
A számítógépek a memóriának egy „heap” („halom”) nevű területét használják bizonyos típusú adatok tárolására. Ha egy program nem jól kezeli ezt a memóriát, és megpróbál több adatot betömni egy „heap-pufferbe” (mint a mi polcunk), mint amennyit az elbír, azt heap-puffer túlcsordulásnak nevezzük.
Visszatérve a polc analógiához, képzeld el, hogy van egy huncut barátod. Minden alkalommal, amikor túl sok könyvet próbálsz a polcra pakolni, a barátod eldöntheti, hogy melyik könyv kerüljön ki a polcról. Talán lecseréli a kedvenc regényedet egy olyan könyvre, amit utálsz. Számítógépes szempontból a túlcsorduló adatok más fontos adatokat vagy utasításokat írhatnak felül úgy, hogy az a támadó számára előnyös legyen.
Ha valaki tudja, hogy egy programban van egy heap-puffer túlcsordulási sebezhetőség, képes lehet elküldeni neki speciálisan kialakított adatokat, amelyek hatására a program váratlan módon viselkedik. Például potenciálisan rosszindulatú kódot futtathat, vagy jogosulatlan hozzáférést szerezhet a rendszerhez.
A kodek olyan, mint egy fordító, amely segít a számítógépnek megérteni és megjeleníteni a WebP-képeket (a JPEG-hez vagy PNG-hez hasonló formátum). Ha ez a kodek heap-puffer túlcsordulással rendelkezik, egy támadó képes lehet rosszindulatú WebP-képet készíteni, amely megtekintése esetén kihasználja ezt a sebezhetőséget, és kárt okozhat a számítógépében vagy információt lophat.
Mennyire rossz a helyzet? Nagyon!
Ha egy támadó ki tudja használni a heap-puffer túlcsordulását, akkor képes lehet átvenni az irányítást a rendszer felett, adatokat lopni, vagy rosszindulatú programot behozni. Az ilyen sebezhetőségek elleni védelem kulcsfontosságú.
Mi volt a probléma a WebP könyvtárban?
A probléma gyökere a „BuildHuffmanTable” függvényben rejlik, amelyet először 2014-ben vezettek be, a függvényt arra használják, hogy ellenőrizzék, hogy az adatok pontosak-e. A sebezhetőség akkor léphet fel, ha több memóriát rendelnek hozzá, ha a táblázat nem elég nagy az érvényes adatokhoz. A javítást bevezető kódbeküldés itt látható.
Az eredeti kód egy Huffman-dekódert optimalizált, amely egy gyakori technikát használ: több bitet előre olvas, hogy meghatározza, hány bitet kell fogyasztani és milyen szimbólumot kell dekódolni. A régebbi verzió a rövid szimbólumokhoz keresőtáblákat használt, míg a hosszabbakhoz bonyolultabb gráfáttörésre volt szükség. Az újabb verzió ezt a folyamatot egyszerűsítette a keresőtáblák tömbjének alkalmazásával. E táblázat minden egyes bejegyzése bitekre és értékekre vonatkozó adatokat tartalmaz, és ha a bitek száma meghalad egy bizonyos határt, az értéket másképp értelmezi.
Az új verzió a bejegyzések maximális számát a szimbólumok számolásával határozta meg. Mivel azonban a Huffman-fa nem megbízható forrásból származik, előfordulhatnak olyan helyzetek, amikor a bitek száma túl nagy. A VP8 Lossless legfeljebb 15 bitet engedélyez, ami azt jelenti, hogy a legnagyobb táblázatban is sok bejegyzés lehet, több, mint kellene. Érdekes módon, bár a kódban volt egy olyan mód, amely csak a táblázat méretét számította ki, ezt nem használták, és fix méretet feltételeztek, ami potenciális túlcsorduláshoz vezetett.
A változtatások oka a Huffman dekódolási lépés optimalizálása volt, ami a tömörítési formátumok döntő fontosságú és számításigényes része. Bár az optimalizálási technika elismert, a hosszabb kódok általában nem élveznek prioritást, mivel nem gyakran fordulnak elő. Az eredeti kódfrissítés ezzel a vélekedéssel szemben érvelt, és azt elfogadták.
A kiemelt probléma nem olyasmi, amit pusztán egy memóriabiztos nyelv használatával meg lehetne előzni. Ez egy olyan egyedi forgatókönyv, ahol a túlcsordulási ellenőrzések elkerülése kívánatos. Bár a tényleges megoldás nem változtatta meg a ReadSymbol függvényt, a szoros hurok biztonságának biztosítása továbbra is kritikus fontosságú. Az ilyen biztonsági intézkedések helytelen indoklása problémákhoz vezethet.
Töltse le a frissítést!
A LibreOffice 7.6 Community második, illetve a 7.5-ös sorozat hetedik javító verziója, az önkéntesek által támogatott nyílt forrású irodai programcsomag új verziója letölthető a https://www.libreoffice.org/download címről. A LibreOffice Technology platformra épülő csomag asztali, mobil és felhőalapú környezetekben biztosít számos interoperabilitási fejlesztést a Microsoft zárt fájlformátumaihoz. Mivel a 7.4.x verziójú LibreOffice verziók 2023 júniusában elavulttá válnak, a LibreOffice fejlesztői felhívják a figyelmet, hogy ideje frissíteni az újabb, aktívan karbantartott 7.5.x sorozatra, amelyek nagyjából októberig kapnak frissítést. Érdemes már most megvizsgálni a -már megjelent - LibreOffice 7.6-re való frissítés lehetőségét.
A LibreOffice 7.6 újdonságai többek között a Writer programban új Oldalszám Varázsló segíti az oldalszámak könnyebb beillesztését, a Calc táblázatkezelőben új számformátumokat támogatnak és felhasználói szabályok megtartása más dokumentumba másoláskor, míg az Impresszum és Rajzoló alkalmazásokban új navigációs panel és gazdagabb PDFium import, illetve export lehetőségek várnak. A LibreOffice 7.6 Közösségi verzió főbb újításai között szerepel az érintőtáblákon használható nagyítási gesztusok támogatása, dokumentumtémák és témadefiníciók importálásának és exportálásának lehetősége, valamint a betűtípuskezelés jelentős fejlesztése, különösen a jobbról balra írott, CJK és más ázsiai írásrendek esetében. A termék továbbra is bizonyítja, hogy képes Microsoft Office-ra alternatívaként szolgálni.
Megtekinthető PeerTube-on is.
A LibreOffice újdonságai
A LibreOffice 7.6 izgalmas változtatásai között néhány példa:
Közös újdonságok
- Támogatás az érintőtáblás nagyítási gesztusokhoz a fő nézetben.
- Támogatás dokumentum témákhoz, valamint témadefiníciók importálásához és exportálásához ODF és OOXML dokumentumokhoz.
- Sok javítás történt a betűtípuskezelésben, különösen a jobbról balra író szkriptek, a CJK és más ázsiai ábécék esetében.
A Writer (szövegszerkesztő) újdonságai
- Új Oldalszám Varázsló az Beszúrás menüben, egyszerű oldalszám beszúrásához a fejlécben/láblécen egy lépésben.
- A Bekezdés Stílus legördülő menü a Formázó eszköztárban a dokumentumban használt stílusok listáját mutatja, nem pedig az elérhető stílusok teljes listáját.
- A Képek jegyzékek táblázatok most rugalmasabban generálhatók bekezdés stílusok alapján, nem csak kategóriák vagy objektumnevek alapján.
- A Bibliográfia bejegyzéseket közvetlenül szerkeszthetjük egy bibliográfia táblázatból, és a bibliográfia jelek alapértelmezés szerint hiperhivatkoznak a megfelelő sorra a bibliográfia táblázatban.
- Kiemelés használt bekezdés- és karakterstílusokra, valamint közvetlen formázásra a szövegben.
- Kifejezésellenőrzés: Most már elfogad többszavas szótári elemeket a Hunspell helyesírás-ellenőrzőtől és a saját szótárakból
A Calc (táblázatkezelő) újdonságai
- Számformátum: Most már támogatott a „?” az ODF exportálásnál egy egész számjegy reprezentálásához, amelyet üresre cserél, ha nem jelentős nulla, és tizedesjegyek a másodperces formátumokban truncation nélkül, mint például [SS].00.
- Más dokumentumba másolt táblázatok most megtartják a felhasználó által meghatározott nyomtatási tartományt.
- Az Elrendezési beállítások most dokumentumokkal együtt vannak mentve, és az oldalstílusok exportálódnak, még ha nincsenek használatban.
- Támogatás rajz stílusokhoz alakzatokhoz és megjegyzésekhez, beleértve egy külön stílust a megjegyzésekhez, amely lehetővé teszi az új megjegyzések alapértelmezett kinézetének és szövegformázásának testreszabását.
- Új kompakt elrendezés a pivottáblázatokhoz.
- Az automatikus szűrő támogatja a szín szerinti rendezést. Szín alapján történő szűrés/sorba rendezés számszínformátumok alapján történő beállításokat is figyelembe veszi.
- A Szöveg Importálás párbeszédablak (CSV fájlként vagy formázatlan szövegként) most tartalmaz egy új lehetőséget a tudományos jelölésű számok felismerésének letiltásához (csak akkor, ha a „Különleges Számok Felismerése” ki van kapcsolva).
Az Impress (bemutatókészítő) és a Draw (rajzoló) újdonságai
- Új navigációs panel a diavetítés nézet közben történő diaváltáshoz (a lehetőség bekapcsolható a Diavetítés Beállításokban található jelölőnégyzet kipipálásával).
- Objektumok most elrendezés szerinti listában is szerepelhetnek a Navigátorban, a legfelsőbb objektum a lista tetején.
- Támogatás szabad szövegjegyzetekhez a PDFium importálás során, plusz támogatás az ecsetvonásokhoz, szabad szövegekhez és sokszögek/polygonvonalakhoz való megjegyzésekhez a PDFium exportálás során.
- Módosították az automatikus szövegarányosítási algoritmust, hogy a MS Office-hoz hasonlóan működjön. A szövegarányosítás most különválik térarányosításra (bekezdés és sor) és betűarányosításra, ahol a térarányosítás 100%, 90% és 80% lehet, és a betűarányosítás a legközelebbi pontmérethez lesz kerekítve. A vízszintes térközök (felsorolás, behúzás) már nem lesznek átméretezve.
- Számos fejlesztés történt a betűkezelésben a CJK és arab nyelvek esetében.
A LibreOffice 7.6 fejlesztési ciklusának eddigi változásairól bővebb információt a kiadási megjegyzésekben talál. A kiadás ütemterve itt található.
Ha bármilyen hibát vagy problémát talál ebben a béta verzióban, kérjük, jelezze azokat a LibreOffice Bugzilla hibakeresőjében. Kérjük azonban, ne feledje, hogy ezt a kiadást megelőző verziót csak tesztelésre használja és ne telepítse és ne használja semmilyen produktív munkához.
