LibreOffice/OpenOffice の脆弱性:署名の偽造に注意が必要

LibreOffice, OpenOffice bug allows hackers to spoof signed docs

2021/10/11 BleepingComputer — LibreOffice と OpenOffice は、攻撃者が文書を操作し、信頼できるソースからの署名があると見せかける、脆弱性に対処するためのアップデートを公開した。この脆弱性の深刻度は中程度に分類されていが、その影響は深刻なものになる可能性がある。ドキュメント・マクロに使用されているデジタル署名は、文書が改ざんされておらず、信頼できるものであることを、ユーザーに対して確認するためのものだ。

マクロが使われている文書に対して、誰もが自分で署名し、信頼できるように見せかけることが可能であれば、ユーザーを騙して悪意のコードを実行させることができる。OpenOffice の脆弱性 CVE-2021-41832 は、Ruhr University Bochum の4人の研究者たちにより発見された。LibreOffice にも、同じ脆弱性が存在する。LibreOffice は、10年以上前に OpenOffice のメインプロジェクトから分岐したものであり、LibreOffice プロジェクトでは CVE-2021-25635 として追跡されている。

リスクへの対応

いずれかのオープンソース・オフィス・スイートを使用している場合は、最新バージョンに直ちにアップグレードすることが推奨される。OpenOffice は 4.1.10 以降、LibreOffice は 7.0.5/7.1.1 以降となる。

この2つのアプリケーションには自動更新機能がないため、それぞれのダウンロード・センターから最新バージョンをダウンロードして、手動で更新する必要がある。Linux を使用していて、使用中のディストリビューションのパッケージ・マネージャで、前述のバージョンが利用できない場合は、ダウンロードセンターから「deb」または「rpm」パッケージをダウンロードするか、ソースから LibreOffice をビルドするこが推奨される。

何らかの理由で、最新版にアップデートできない場合は、オフィス・スイートのマクロ機能を完全に無効にすること、および、マクロを含む文書を信用しないようにすることも可能である。

LibreOffice でマクロ・セキュリティを設定するには、「ツール → オプション → LibreOffice → セキュリティ」の順に選択し、「マクロセキュリティ」をクリックする。新しいダイアログでは、4種類のセキュリティ・レベルを選択することが可能であり、High または Very High が推奨される。古い脆弱なバージョンを使用している場合は、「信頼済みリスト」機能に頼るべきではない。なぜなら、無効な署名アルゴリズムにより、混入した文書が信頼できるソースからのものだと振る舞うように、表示されてしまう可能性があるからだ。

この CVE-2021-41832 ですが、お隣のキュレーション・チームに聞いてみたところ、すでにキャッチアップしており、CVSS スコアは Vuldb の 6.3 を拾っているとのことでした。NVD にはエントリーされていますが、詳細はマダとのことです。文中にもありますが、この種の脆弱性は、それ自身の深刻度が低くても、悪用されると壊滅的な被害を生じることもあります。要注意ですね。

%d bloggers like this: