ニュース
「LibreOffice」にディレクトリトラバーサルの欠陥 ~v6.1.3/v6.0.7で修正済み
ドキュメントを開くと意図しない「Python」スクリプトを実行できる可能性
2019年2月5日 08:00
The Document Foundation(TDF)は2月1日(現地時間)、「LibreOffice 6.1.3」「LibreOffice 6.0.7」で修正された脆弱性を明らかにした。ディレクトリトラバーサルの欠陥が1件、修正されているという。
「LibreOffice」には、マウスオーバーをはじめとするドキュメントへのさまざまな操作をトリガー(きっかけ)に、プリインストールされたマクロを実行する機能が備わっている。ところが、v6.1.3/v6.0.7より前のバージョンの「LibreOffice」のマクロ機構にはファイルのパスを十分に検証しない不具合があり、ドキュメントを開くと意図しない「Python」スクリプトを実行できる可能性があった。とくに「LibreOffice 6.1」では「Python」メソッドに引数を渡す機能が追加されているため、影響は深刻だ。
v6.1.3/v6.0.7以降の修正版では、相対パスの検証が修正されたほか、スクリプトのアクセス制限を強化することでこの問題に対処している。旧バージョンを利用している場合は、できるだけ早めにアップデートしておくべきだろう(「LibreOffice 6.1」系統の最新版は昨年12月にリリースされた「LibreOffice 6.1.4」)。
なお、次期バージョン「LibreOffice 6.2」は近日中にリリースされる予定。パーソナライズ機能のパフォーマンスと安定性が向上し、組み込みテーマや新しいテーマが利用可能になるという。