フリーのオフィスソフト「LibreOffice」に2件の脆弱性 ～「LibreOffice 6.2.5」で修正

The Document Foundationが公開したセキュリティアドバイザリ

　The Document Foundation（TDF）は7月16日（現地時間）、「LibreOffice」で2件の脆弱性を修正したことを発表した。「LibreOffice 6.2.5」ですでに修正されている。

　1つ目の脆弱性（CVE-2019-9848）は、「LibreLogo」で任意のコードが実行可能になるというもの。「LibreLogo」は「LibreOffice」に付属している教育向けプログラミング環境だが、これをマウスオーバーなどのイベントに紐づけて特定のスクリプトを実行する「LibreOffice」の機能と組み合わせることで、警告なしに任意の「Python」コマンドをサイレント実行できる悪質なドキュメントを作成できたという。最新版ではドキュメントイベントハンドラーから「LibreLogo」を呼び出せないように修正されている。

　もう1つの脆弱性（CVE-2019-9849）は、リモートの箇条書きのビュレット（ブレット）記号イメージが“ステルス モード”で読み込まれてしまうというもの。“ステルス モード”は信頼できない外部のリモートリソースをドキュメントに含まないようにする機能だが、「LibreOffice 6.2.5」より前のバージョンではビュレット記号のみこの保護の対象から漏れているという問題があった。「LibreOffice」を安全に利用するためにも、最新版への更新をお勧めする。

　「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在“libreoffice.org”から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。