ニュース
「LibreOffice」に脆弱性が ~修正版「v7.0.5/7.1.2」への更新を
[Ctrl]+クリックでリンクを起動した際、実行ファイルのブロック機構が迂回される可能性
2021年4月16日 14:02
The Document Foundationは4月15日(ドイツ時間)、「LibreOffice 7.0.5」「LibreOffice 7.1.2」で1件のセキュリティ改善(CVE-2021-25631)を行ったと公表した。Windows版で拡張子の拒否リストがバイパスされる問題があったという。
「LibreOffice」には、[Ctrl]キーを押しながらドキュメント内のハイパーリンクをクリックして、リンク先を外部アプリで開く機能がある。Windows版の場合、このリンクはシステムのShellExecute関数に渡されるが、実行ファイルなどまで起動してしまうことを避けるため、拡張子ベースでShellExecute関数に渡すリンクをフィルタリングする機能が備わっている。
「LibreOffice 7.0」シリーズ(v7.0.5より前)と「LibreOffice 7.1」シリーズ(v7.1.2より前)にはこの仕組みに問題があり、リンクを操作して拒否リストによるフィルタリングをバイパスし、実行可能なファイルを起動できてしまうという。
最新版では、このバイパス手法はブロック済み。開発チームは最新版へアップデートするよう呼び掛けている。
「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在“libreoffice.org”から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。新機能を体験したいユーザーは「LibreOffice 7.1」、企業で利用するなど安定性を重視したい場合は「LibreOffice 7.0」の利用が推奨されている。