ニュース

「LibreOffice」に外部からマクロを呼び出せてしまう脆弱性 ~v7.3.6/7.4.1への更新を

The Document Foundationの脆弱性情報

 The Document Foundationは10月11日(中央ヨーロッパ時間)、「LibreOffice 7.3.6」「LibreOffice 7.4.1」で1件のセキュリティ改善(CVE-2022-3140)を行ったと公表した。

 「LibreOffice」は「Microsoft SharePoint」サーバーと連携するため「Office URI スキーマ」をサポートしており、「vnd.libreoffice.command:」というURLで「LibreOffice」を起動できる。

 しかし、古いバージョンの「LibreOffice」ではこうしたURLに任意の引数を追加し、内部マクロを呼び出せてしまっていた。そのため、リンクをクリックしたり、ドキュメントイベントでアクティブにすると、警告を出さずに任意のスクリプトが実行される可能性がある。

 「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在「libreoffice.org」から無償でダウンロードできる。

 Windows版はWindows 7 SP1以降をサポートしており、窓の杜ライブラリからもダウンロード可能。新機能を体験したいユーザーは「LibreOffice 7.4」シリーズ、企業で利用するなど安定性を重視したい場合は「LibreOffice 7.3」シリーズの利用が推奨されている。