Patch Up Your OpenOffice: Four Vulnerabilities You Don’t Want to Ignore
2023/12/31 SecurityOnline — オープンソースの Office Suite の領域において、Apache OpenOffice は、ワードプロセッシングからデータベース管理にいたるまで、その包括的な機能が高く評価され、不動の地位を築いている。数多くの言語による利用が可能であり、さまざまなコンピューター・システムとの互換性を持つ万能スイートは、長い間において、信頼性と効率性で信頼を得てきた。しかし、脆弱性と言うものは、最強のソフトウェアにも脆弱性は存在するもの、Apache OpenOffice も例外ではない。
先日にリリースされた Apache OpenOffice 4.1.15 は、単なるアップデートではなく、潜在的なサイバー脅威に対する重要な補強でもある。このバージョンでは、世界中のユーザーにとって重大なリスクとなる4件のセキュリティ脆弱性が対処されている。ただし、現時点で悪用は確認されていないという。
- CVE-2012-5639: エンベッドされたコンテンツの脅威
この、深刻度 Medium の脆弱性は、Apache OpenOffice と LibreOffice に潜んでおり、エンベッドされたコンテンツが警告なしに自動的に開くというものである。この脆弱性の悪用は検知されていないが、PoC エクスプロイトのデモが存在したことから、迅速な修正の必要性が強調されている。
- CVE-2022-43680:Use After Free の欠陥
深刻度 Medium の問題が、バージョン2.4.9 までの libexpat で発見された。この Use After Free の脆弱性は、XML_ExternalEntityParserCreate の共有 DTD が、メモリ不足のシナリオで早期に破壊されるものであり、予期せぬ結果にいたるというものだ。現時点では、悪用の情報はなく、また、PoC エクスプロイトも存在していないが、潜在的なリスクは明らかである。
- CVE-2023-1183: 不正なファイル書き込みの回避
この脆弱性は、攻撃者によるデータベース/スクリプト・ファイルを含む OBD の作成と、任意の場所へのファイルの書き込みが可能という脅威をもたらすものだ。この脆弱性には PoC エクスプロイトが存在し、今回のアップデートの重要性を明示している。
- CVE-2023-47804: マクロベースのエクスプロイトからの保護
この脆弱性は、今回における最も複雑なものであり、内部マクロを呼び出す文書リンクを通じて、ユーザーの承認なしに任意のスクリプトを実行させるものである。Po Cエクスプロイト が存在するため、この脆弱性の修正は、ソフトウェアの防御を強化する上で重要な一歩となる。
OpenOffice ユーザーに推奨されるのは、バージョン 4.1.15 への早急なアップグレードである。自身のデータとワークフローの安全性を保証する、迅速で簡単なプロセスである。信頼できるツールであっても、メンテナンスが必要なことを覚えておいてほしい。
Apache OpenOffice と、そこから分派した LibreOffice に、4つの脆弱性が発見されたとのことです。その中には、PoC エクスプロイトが存在しているこのもあるため、迅速な対応が必要です。よろしければ、LibreOffice で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.