CVE-2025-1080: LibreOffice Patches Security Flaw Allowing Arbitrary Script Execution
2025/03/05 SecurityOnline — The Document Foundation が発表したのは、任意のスクリプトを実行する攻撃者に対して、LibreOffice の悪用を許す脆弱性に対処する、セキュリティ・アップデートのリリースである。この脆弱性 CVE-2025-1080 (CVSS:7.2) が影響を及ぼす範囲は、LibreOffice のバージョン 24.8.5/25.2.1 未満となる。
Microsoft SharePoint のなどのプラットフォームとの、ブラウザの統合を実現するために設計された Office URI Schemes 機能を、LibreOffice がサポートする方式に、この脆弱性は起因する。
アドバイザリには、「LibreOffice 固有の追加スキーム “vnd.libreoffice.command” が追加された」と記されている。しかし、悪意のコードを実行するために、このスキームが操作される可能性があるという。
さらに、このアドバイザリでは、「影響を受けるバージョンの LibreOffice では、このスキームを使用するブラウザ内のリンクが、エンベッドされた内部 URL で構成されている。その URL が LibreOffice に渡されると、任意の引数を持つ、内部マクロが呼び出される可能性がある」と詳述されている。したがって、攻撃者が作成したルアー・リンクを、LibreOffice ユーザーがクリックすると、悪意のマクロ実行の可能性が生じる。
この脆弱性が、任意のスクリプト実行により悪用されると、データ窃取/マルウェア・インストール/システム侵害など、さまざまな悪意のアクティビティにつながり、深刻なリスクが生じる。The Document Foundation が、すべてのユーザーに対して強く推奨しているのは、LibreOffice 24.8.5/25.2.1 へのアップグレードにより、このリスクを軽減することである。同社のアドバイザリでは、「この修正されたバージョンにより、悪意の回避策はブロックされる」と述べられている。
この脆弱性は、Amel Bouziane-Leblond により発見され、The Document Foundation へと適切に報告された。
LibreOffice を利用しているユーザーは、最新のセキュリティ・アップデートを速やかに適用し、システムを保護する必要がある。
LibreOffice の脆弱性が FIXしました。この脆弱性が悪用されると、データ窃取/マルウェア・インストール/システム侵害などに至る可能性があるのとことです。ご利用のチームは、アップデートをご検討ください。なお、この製品は、1週間ほど前にも別の脆弱性が修正されています (2025/02/27:LibreOffice の脆弱性 CVE-2025-0514 が FIX:悪意の Windows ファイル実行の恐れ) 。よろしければ、LibreOffice で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.