ニュース

「Apache OpenOffice」v4.1.7で修正された脆弱性は1件 ~マクロ実行のブロックが迂回される可能性

「LibreOffice」にも影響するが、1カ月以上前に修正済み

Apache財団、「Apache OpenOffice」v4.1.7で修正した脆弱性の内容を公表

 The Apache Software Foundationは、「Apache OpenOffice」v4.1.7で修正した脆弱性の内容を公表した。「OpenOffice 4.1.6」およびそれ以前のバージョンに影響する欠陥が1件、修正されているという。

 「OpenOffice」ドキュメントにはマクロを含めることができるが、その実行はドキュメントのセキュリティ設定によりコントロールされており、既定では実行されないように設定されている。しかし、旧バージョンの「OpenOffice」にはマクロのURLを扱う処理と、それが信頼できるかどうかを分類する方法に問題があり、マクロの実行ブロックを回避するドキュメントを作成できたという(CVE-2019-9853)。ドキュメントにマクロが存在し、マクロが含まれていることを警告する仕組みは正常に動作するものの、セキュリティ設定がバイパスれされてしまうため、悪意あるマクロがそのまま実行されてしまう可能性がある。

 Apache財団によると、この脆弱性が成立することを実証するデモ(PoC)は存在するが、実際の攻撃に悪用されていることは確認されていないとのこと。脆弱性の深刻度は“Medium”と評価されている。

 なお、この脆弱性は「LibreOffice」にも影響するが、「LibreOffice 6.3.1」「LibreOffice 6.2.6」ですでに修正済み

 「Apache OpenOffice」は、オープンソースのオフィス統合環境。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロード可能。Windows版はWindows XP/Vista/7/8/8.1/10およびWindows Server 2003/2012に対応している。