「Apache OpenOffice 4.1.16」が公開、約2年ぶりのマイナーアップデート

「Apache OpenOffice 4.1.16」が公開

　The Apache Software Foundation（ASF）は11月10日、「Apache OpenOffice 4.1.16」を公開した。2023年12月以来、約2年ぶりのマイナーアップデートとなる。

　「Apache OpenOffice」は、かつてSun Microsystemsが無償で配布していたオフィス統合環境「OpenOffice.org」（OOo）の流れをくむ、オープンソース・クロスプラットフォーム対応のオフィススイート。「LibreOffice」とは兄弟関係にあるが、「LibreOffice」が今でも活発にメンテナンスされているのに対し、「Apache OpenOffice」は人員不足で開発が停滞している。10年近く前から計画されている「OpenOffice 4.2」も、いまだリリースされていない。

　今回のアップデートはセキュリティリリースと位置付けられており、以下の7件の脆弱性が修正された。ユーザーの許可を得るダイアログ（プロンプト）なしで、リモートサーバーにあるドキュメントが読み込めてしまう欠陥が多くを占めている。悪意あるコンテンツを注入され、最悪の場合システムを乗っ取られてしまう可能性があるので、できるだけ早い対応が必要だ。

• CVE-2025-64401：リモートドキュメントがIFrameを経由して、プロンプトなしで読み込めてしまう
• CVE-2025-64402：OLE オブジェクトを介してプロンプトなしでリモートドキュメントが読み込まれる
• CVE-2025-64403：表計算アプリ「Calc」の「外部データ ソース」を介してプロンプトなしでリモートドキュメントが読み込まれる
• CVE-2025-64404：背景画像と箇条書き画像を介してリモートドキュメントがプロンプトなしで読み込まれる
• CVE-2025-64405：DDE機能を介してプロンプトなしでリモートドキュメントが読み込まれる
• CVE-2025-64406：CSVインポート中にメモリが破損する可能性がある
• CVE-2025-64407：URLフェッチを使用して、任意のINIファイル値と環境変数を盗み出すことができる

　そのほかにも、若干の機能強化と改善が行われているとのこと。不具合も約20件対処されている。

• 「ODF 1.2」ドキュメントにAES-256暗号化を追加
• トルコ語の自動テキストテンプレート
• 未使用の「bmpmaker」モジュールの削除
• MathMLの互換性の向上
• macOSでデッドロックを引き起こしていた更新プログラムの自動チェック処理を削除

　「Apache OpenOffice」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在、公式サイト「openoffice.org」からダウンロード可能。Windows版はWindows XP/Vista/7/8/8.1/10/11およびWindows Server 2003/2012に対応しており、窓の杜ライブラリからもダウンロードできる。また、「Microsoft Store」でも提供中だ。