「LibreOffice」にリモートからローカルデータの盗み見を許す脆弱性、修正版が公開

CVE-2018-1055

　The Document Foundationは9日（中央ヨーロッパ時間）、「LibreOffice」にリモートから任意のファイルが開示されてしまう脆弱性（CVE-2018-1055）が存在することを明らかにした。修正を施したv6.0.1/v5.4.5がリリースされている。

　「LibreOffice」に含まれる表計算ソフト「Calc」は、URLで指定したリモートデータを取得する“WEBSERVICE”関数をサポートしている。旧バージョンの「LibreOffice」では、この“WEBSERVICE”関数にローカルファイルURL（file://）を指定することが可能。ローカルデータを読み取って後続の数式に渡し、それをもとにリモートURLを構築するといった手法で、意図せず外部からローカルデータを読み取られてしまう可能性があった。

　最新版の「LibreOffice」では、“WEBSERVICE”関数で利用できるURLを「Calc」のリンク管理インフラストラクチャーで管理し、プロトコルを“HTTP”と“HTTPS”に制限することでこれを解決しているという。

　「LibreOffice」は、オープンソースのオフィス統合環境。Windows/mac/Linuxなどに対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。一般的な利用であれば、最新機能を積極的に盛り込んだ“最新版”がおすすめ。企業で利用する場合など安定性を重視したい場合は“安定版”を利用するとよい。