ニュース

「LibreOffice」に任意のスクリプトが実行可能になる可能性のある危険な脆弱性

「LibreOffice 7.6.4/7.5.9 Community」への更新を

The Document Foundationのアナウンス

 The Document Foundationは12月11日(中央ヨーロッパ時間)、「LibreOffice」で修正した2件の脆弱性を修正したと発表した。

 1つ目は、リンク先で任意のスクリプト実行が可能になるというもの(CVE-2023-6186)。「LibreOffice」はhttp/httpsのような一般的なプロトコルに加え、組み込みマクロを起動したり、組み込み内部コマンドを実行するためのハイパーリンクを埋め込むことができるが、このようなハイパーリンクをアクティブにすると警告なしに実行されることがあった。

 2つ目は、「Gstreamer」パイプラインにおける入力検証不備(CVE-2023-6185)。Linux版「LibreOffice」は「Gstreamer」を用いてドキュメントに埋め込まれたオーディオ・ビデオを再生できるが、それが「Gstreamer」へ渡される際にファイル名が十分にエスケープされないことがあるという。悪意のある攻撃者は、ターゲットシステムにインストールされている任意の「Gstreamer」プラグインを実行できてしまう。

 これらの問題は、最新版の「LibreOffice 7.5.9」「LibreOffice 7.6.3」で修正済み。速やかにアップデートするべきだろう。

 「LibreOffice」は、オープンソースのオフィス統合環境。Windows/mac/Linuxなどに対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。一般的な利用であれば、最新機能を積極的に盛り込んだ「最新版」(Fresh)がおすすめ。企業で利用する場合など安定性を重視したい場合は「安定版」(Still)を利用するとよい。