「LibreOffice」に脆弱性が ～修正版「v7.0.5/7.1.2」への更新を

The Document Foundationの脆弱性情報

　The Document Foundationは4月15日（ドイツ時間）、「LibreOffice 7.0.5」「LibreOffice 7.1.2」で1件のセキュリティ改善（CVE-2021-25631）を行ったと公表した。Windows版で拡張子の拒否リストがバイパスされる問題があったという。

　「LibreOffice」には、［Ctrl］キーを押しながらドキュメント内のハイパーリンクをクリックして、リンク先を外部アプリで開く機能がある。Windows版の場合、このリンクはシステムのShellExecute関数に渡されるが、実行ファイルなどまで起動してしまうことを避けるため、拡張子ベースでShellExecute関数に渡すリンクをフィルタリングする機能が備わっている。

　「LibreOffice 7.0」シリーズ（v7.0.5より前）と「LibreOffice 7.1」シリーズ（v7.1.2より前）にはこの仕組みに問題があり、リンクを操作して拒否リストによるフィルタリングをバイパスし、実行可能なファイルを起動できてしまうという。

　最新版では、このバイパス手法はブロック済み。開発チームは最新版へアップデートするよう呼び掛けている。

　「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在“libreoffice.org”から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。新機能を体験したいユーザーは「LibreOffice 7.1」、企業で利用するなど安定性を重視したい場合は「LibreOffice 7.0」の利用が推奨されている。