Устранённые уязвимости:
- CVE-2025-64406 - выход за границу буфера при импорте специально оформленных файлов в формате CSV. Потенциально уязвимость может привести к перезаписи данных в памяти и выполнению своего кода в системе.
- CVE-2025-64407 - функция загрузки URL могла использоваться для передачи на внешний сервер переменных окружения и значений из INI-файлов при открытии документа со специально оформленными внешними ссылками, загружаемыми без ведома пользователя. В числе аргументов подобных ссылок допускалась передача различных настроек и переменных окружения.
- CVE-2025-64401, CVE-2025-64402, CVE-2025-64403, CVE-2025-64404,
CVE-2025-64405 - возможность загрузки в документ внешнего содержимого без подтверждения операции у пользователя через манипуляции с iframe, OLE-объектами, внешними источниками данных в Calc, DDE-функциями и фоновыми картинками. Проблемы вызваны возможностью подстановки в документ внешних ссылок, содержимое которых загружается без уведомления пользователя.
Среди не связанных с безопасностью изменений:
- Реализована поддержка шифрования документов в формате ODF 1.2 с использованием алгоритма AES-256.
- Повышена совместимость со спецификацией MathML.
- Удалён неиспользуемый модуль "bmpmaker".
- На платформе macOS отключена автоматическая проверка обновлений, приводившая к взаимной блокировке.
- Исправлено 18 проблем, среди которых зависание загрузки на стадии проверки обновлений, пропадание слайдера масштабирования при смене страницы в Draw/Impress, некорректный разбор некоторых CSV-файлов, аварийное завершение запуска при наличии некоторых шрифтов, некорректная очистка списка недавно открытых документов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64225
(opennet.ru, основная лента)