壊れたオフィス文書を修復する「LibreOffice」機能に脆弱性
The Document Foundationは9月17日(中央ヨーロッパ時間)、「LibreOffice」で1件の脆弱性(CVE-2024-7788)を修正していたことを明らかにした。
「LibreOffice」で扱うオフィス文書形式の多く(ODF/Office Open XML)はZIP形式をベースとしているが、ときどき中のディレクトリが破損して読めなくなることがある。それに備え「LibreOffice」は「修復モード」を提供しており、壊れたZIP書庫のファイル構造を復元して、ドキュメントを再び読めるように修復を試みる。
しかし、この機能はデジタル署名への対応が不十分で、検証に失敗したときもユーザーがそれを無視してマクロを有効にすることができてしまっていた。悪意あるマクロを含んだドキュメントをわざと破損させ、ユーザーに実行させようとする攻撃が成立する可能性がある。
The Document Foundationは9月17日(中央ヨーロッパ時間)、「LibreOffice」で1件の脆弱性(CVE-2024-7788)を修正していたことを明らかにした。
「LibreOffice」で扱うオフィス文書形式の多く(ODF/Office Open XML)はZIP形式をベースとしているが、ときどき中のディレクトリが破損して読めなくなることがある。それに備え「LibreOffice」は「修復モード」を提供しており、壊れたZIP書庫のファイル構造を復元して、ドキュメントを再び読めるように修復を試みる。
しかし、この機能はデジタル署名への対応が不十分で、検証に失敗したときもユーザーがそれを無視してマクロを有効にすることができてしまっていた。悪意あるマクロを含んだドキュメントをわざと破損させ、ユーザーに実行させようとする攻撃が成立する可能性がある。
この問題は「LibreOffice 24.2.5」、「LibreOffice 24.8.0」で修正済み。それ以降のバージョンになっていれば問題はない。「修復モード」ではすべての署名が無効と扱われ、マクロを有効にできない。
「LibreOffice」は、オープンソースのオフィス統合環境。Windows/mac/Linuxなどに対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。
