「LibreOffice 6.4.4」で2件のセキュリティ修正 ～最新版へのアップデートを

The Document Foundationの脆弱性情報

　The Document Foundationは6月9日（ドイツ時間、以下同）、「LibreOffice 6.4.4」で2件のセキュリティ改善を行ったとを公表した。「LibreOffice 6.4.4」は先月21日にリリース済み。

　1件目は、「LibreOffice 4.2」以降に搭載されている“ステルスモード”に関するもの。“ステルスモード”は、信頼できないリソースへのリモートアクセスを遮断し、第三者によるトラッキングを防止するプライバシー保護機能。本来はDOCX形式ドキュメントのグラフィックスリンクにも適用されるべきだが、旧バージョンの「LibreOffice」では機能していないという欠陥があった（CVE-2020-12802）。ただし、“ステルスモード”は既定で無効化されているため、DOCXドキュメントで本機能を有効化していない限り、この欠陥の影響を受けることはない。

　もう1件は、“XForms”の送信がローカルファイルを上書きできてしまうというもの（CVE-2020-12803）。“XForms”は、HTMLフォームの後継として策定されたWeb標準仕様。「LibreOffice」が扱うODF形式は“XForms”に対応しており、XMLで定義されたフォームを埋め込むことができるが、旧バージョンではファイルを含む任意のURIにフォームを送信できる仕様になっていた。

　この仕様を悪用するにはユーザーによる操作が必要だが、ドキュメントに巧妙な細工が施されていれば、誤操作を誘発できる可能性はある。最新版の「LibreOffice」では送信可能なURIがHTTP/HTTPSに限定されており、ローカルファイルが上書きされる可能性は排除されている。

　「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在“libreoffice.org”から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。新機能を体験したいユーザーは「LibreOffice 6.4」、企業で利用するなど安定性を重視したい場合は「LibreOffice 6.3」の利用が推奨されている。