「LibreOffice」にメモリ破損の脆弱性3件、「Claude」が自動解析で発見

The Document Foundationのセキュリティアドバイザリ

　The Document Foundationは6月15日（中央ヨーロッパ時間）、オフィスソフト「LibreOffice」に脆弱性が見つかったことを公表した。いずれも細工されたドキュメントを開くと、メモリの境界外書き込みが引き起こされる可能性がある。5日付でリリースされた「LibreOffice 26.2.4」で修正済みだ。

　今回公表された脆弱性は、以下の3件。いずれもAIモデル「Claude」の自動解析で発見されたものだという。

• CVE-2026-8356：「PowerPoint」形式のプレゼンテーションファイル（.ppt）を読み込む際に、スタックの境界外書き込みが発生。色を置換するレコードの処理に不具合があった
• CVE-2026-8357：表計算ソフト「Calc」で数式をコンパイルする際に、ヒープの境界外書き込みが発生する脆弱性。多数の開き括弧からなる長い数式で引き起こされる
• CVE-2026-8358：「Calc」でスプレッドシートの変更履歴（トラッキング）を読み込む際に、ヒープの境界外書き込みが発生する脆弱性。同じ識別子が異なる種類の変更に使い回されると起こる

　深刻度の評価は、いずれも「CVSS 4.0」の基本値で「5.4」（10点満点、Medium）。

　影響を受けるのは「LibreOffice 26.2」シリーズ（v26.2.4より前）。「CVE-2026-8358」に関しては旧来の「LibreOffice 25.8」シリーズ（v25.8.7より前）も影響を受け、「LibreOffice 25.8.7」で修正済みだが、すでにサポートが打ち切られている。いずれにせよ「LibreOffice 26.2.4」へのアップデートが望ましい。