「LibreOffice」に脆弱性 ～ODFドキュメント・マクロの電子署名処理に不備

The Document Foundationが公開したセキュリティアドバイザリ

　The Document Foundation（TDF）は2月22日（現地時間）、「LibreOffice」で1件の脆弱性を修正したことを発表した。

　「LibreOffice」はODFドキュメントやそれに含まれるマクロに対する電子署名をサポートしており、最後に署名されてから文書の変更が行われていないことや、署名が有効であることを視覚的に示す。しかし、「LibreOffice 7.2.5」より前のバージョンの証明書検証処理には問題があり、ドキュメント内の「documentsignatures.xml」や「macrosignatures.xml」を操作することで「KeyInfo」タグに「X509Data」と「KeyValue」という両方の値を持たせることができてしまうという。本来であれば「KeyValue」で証明書を検証するべきだが、「LibreOffice」は関係のない「X509Data」値での検証をレポートしてしまう。

　この問題は「LibreOffice 7.2.5」「LibreOffice 7.3.0」で修正済み。「X509Data」値を持つ場合はX509証明書のみを検証するように制限されているという。

　「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在「libreoffice.org」から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。