「LibreOffice」に任意のスクリプトが実行可能になる可能性のある危険な脆弱性

The Document Foundationのアナウンス

　The Document Foundationは12月11日（中央ヨーロッパ時間）、「LibreOffice」で修正した2件の脆弱性を修正したと発表した。

　1つ目は、リンク先で任意のスクリプト実行が可能になるというもの（CVE-2023-6186）。「LibreOffice」はhttp/httpsのような一般的なプロトコルに加え、組み込みマクロを起動したり、組み込み内部コマンドを実行するためのハイパーリンクを埋め込むことができるが、このようなハイパーリンクをアクティブにすると警告なしに実行されることがあった。

　2つ目は、「Gstreamer」パイプラインにおける入力検証不備（CVE-2023-6185）。Linux版「LibreOffice」は「Gstreamer」を用いてドキュメントに埋め込まれたオーディオ・ビデオを再生できるが、それが「Gstreamer」へ渡される際にファイル名が十分にエスケープされないことがあるという。悪意のある攻撃者は、ターゲットシステムにインストールされている任意の「Gstreamer」プラグインを実行できてしまう。

　これらの問題は、最新版の「LibreOffice 7.5.9」「LibreOffice 7.6.3」で修正済み。速やかにアップデートするべきだろう。

　「LibreOffice」は、オープンソースのオフィス統合環境。Windows/mac/Linuxなどに対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。一般的な利用であれば、最新機能を積極的に盛り込んだ「最新版」（Fresh）がおすすめ。企業で利用する場合など安定性を重視したい場合は「安定版」（Still）を利用するとよい。