オープンソースのオフィス統合環境「Apache OpenOffice」に脆弱性、修正版は未提供

公式リリースページ

　The Apache Software Foundationは21日、オープンソースのオフィス統合環境「Apache OpenOffice」に脆弱性“CVE-2016-1513”が存在することを明らかにした。執筆時現在、本脆弱性への対策を施したバージョンはまだ公開されていない。開発元はホットフィックスまたはメンテナンスリリースが利用可能になるまで脆弱性を悪用した攻撃への警戒と回避策の適用を呼び掛けている。

　脆弱性の内容は、プレゼンテーションソフト「Impress」でODP形式のプレゼンテーションファイルまたはOTP形式のプレゼンテーションテンプレートファイルに不正なプレゼンテーション要素を含めることができるというもの。悪意ある細工が施されたドキュメントを開くとメモリが破壊され、最悪の場合、リモートからサービス運用妨害（DoS）と任意コードの実行を許してしまう恐れがあるという。開発元によると、攻撃が可能であることを示すデモが存在するものの、今のところ悪用された例は存在しないとのことで、深刻度は“Medium（中）”と評価されている。

　影響範囲は、最新版の「OpenOffice」v4.1.2およびそれ以前のバージョン。脆弱性を修正した最新版がリリースされるまで、当面は「OpenOffice」を管理者権限で利用しない、マルウェア対策ソフトを最新の状態に保つ、疑わしいファイルを安易に開かないなどの対策が必要だ。