LibreOffice’s Double Vulnerability Threat – CVE-2023-6185 and CVE-2023-6186
2023/12/11 SecurityOnline — LibreOffice はオープンソースの Free Office Suite であり、Microsoft Office などの有料オプションに代わる強力な選択肢である。そのルーツは、OpenOffice.org プロジェクトであり、コミュニティ主導の開発プロセスにより、クロス・プラットフォームでの利用を勝ち取っている。しかし、脆弱性 CVE-2023-6185/CVE-2023-6186 が浮き彫りにしているように、このオープンソースの Office Suite にも脆弱性がないわけではない。
CVE-2023-6185 (CVSS 8.3)
不適切な入力検証により、任意の Gstreamer パイプライン・インジェクションが可能
この脆弱性は、Linux 上の LibreOffice に影響を及ぼすものであり、Gstreamer マルチメディア・フレームワークへの悪意のコード注入を、攻撃者に許してしまうものだ。Gstreamer は LibreOffice ドキュメント内に埋め込まれた、ビデオの再生の役割を担っている。この脆弱性の悪用に成功した攻撃者は、悪意のオーディオ/ビデオ・コンテンツの再生が可能になる。
この脆弱性は、ubercomp.com のセキュリティ研究者である Reginaldo Silva により発見された。Linux ユーザーに推奨されるのは、LibreOffice をバージョン 7.5.9/7.6.3 にアップグレードすることだ。
CVE-2023-6186 (CVSS 8.3)
リンク・ターゲットによる任意のスクリプト実行
この脆弱性は、すべてのプラットフォーム上の LibreOffice に影響を及ぼす。特別に細工されたハイパーリンクを介して、攻撃者は悪意のスクリプトを実行できる。それらの悪意のハイパーリンクは、文書内に埋め込まれる場合や、電子メールとして送信される場合がある。それらのリンクをクリックすると、攻撃者は以下のアクションを引き起こし得る:
悪意のマクロを実行する: それにより引き起こされるアクションとしては、データの窃取/マルウェアのインストール/ファイルの削除などが挙げられる。
LibreOffice のビルトイン・コマンドの実行: ファイルのオープンや、コンフィグレーションの変更などの、さまざまなアクションを不正に実行される可能性がある。
この脆弱性も Reginaldo Silva により発見された。すべてのプラットフォームのユーザーに対して推奨されるのは、LibreOffice をバージョン 7.5.9/7.6.4 にアップグレードし、保護された状態を維持することである。
自分自身を守る
これらの脆弱性から、自分自身を守るために実施できる、さらなる対策を紹介する:
- LibreOffice を常にアップデート: それにより、最新のセキュリティパッチが適用される。
- 不明なソースからの文書を開くことに注意: 信頼できるソースからのドキュメントのみを開き、ドキュメント内のリンクをクリックすることに注意してほしい。
- マクロを無効化する:それにより、攻撃者による悪意のマクロ実行を阻止できる。
- セキュリティ・ソリューションの利用: 優れたセキュリティ・ソリューションは、攻撃の検出/ブロックを促進する。
これらのヒントを守り、LibreOffice ソフトウェアをアップデートすることで、それらの脆弱性からシステムを守ってほしい。
LibreOffice に脆弱性とのことですが、文中にあるように、とても珍しいことです。前回の脆弱性は、2022/07/28 の「LibreOffice の3つの脆弱性が FIX:任意のコード実行 CVE-2022-26305 などが修正」なので、1年半ほど前のことになります。よろしければ、LibreOffice で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.