「LibreOffice」に任意コードにつながる可能性のある危険な脆弱性 ～対策版へ更新を

The Document Foundationのアナウンス

　The Document Foundationは5月24日（中央ヨーロッパ時間）、「LibreOffice」で修正した2件の脆弱性を発表した。

　1つ目は、「LibreOffice」の「Spreadsheet」モジュールでパラメーター数の検証不備があり、数式インタプリタに渡されるパラメーターが予想より少ない状態で作成されることがあるというもの（CVE-2023-0950）。配列インデックスのアンダーフローにより、任意のコードが実行される可能性がある。

　この問題は「LibreOffice 7.4.6/7.5.2」で修正済み。

　もう1つの脆弱性は、HTMLの「iframe」に似た仕組み「フローティングフレーム」がリモートコンテンツを読み込む際に警告プロンプトを表示しないというもの（CVE-2023-2255）。OLEオブジェクトや「Writer」のリンクセクション、「Calc」の「WEBSERVICE」関数など、他のリンクドキュメントではセキュリティのため警告が表示されるにもかかわらず、「フローティングフレーム」の場合だけそうではない。

　この問題は「LibreOffice 7.4.7/7.5.3」でリンクの更新マネージャーを拡張することで解決されている。今後はユーザーがプロンプトに同意しない限り、コンテンツが自動で更新（実行）されることはない。

　「LibreOffice」は、オープンソースのオフィス統合環境。Windows/mac/Linuxなどに対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。一般的な利用であれば、最新機能を積極的に盛り込んだ「最新版」（Fresh）がおすすめ。企業で利用する場合など安定性を重視したい場合は「安定版」（Still）を利用するとよい。