2025/11/12 CyberSecurityNews — Apache OpenOffice がリリースしたバージョン 4.1.16 では、不正なリモート・ドキュメント読み込みやメモリ破損攻撃を可能にする7件の深刻なセキュリティ脆弱性が修正されている。これらの脆弱性は、人気の高いオープンソース Office Suite のユーザーにとって深刻なセキュリティ・リスクとなるものだ。最も深刻な脆弱性は、ユーザーへの確認や警告なしに不正なリモート・コンテンツを読み込む点にある。これらの脆弱性を悪用する攻撃者は、複数の攻撃経路を通じて悪意の外部ドキュメントを読み込む可能性を得る。
不正なリモート・コンテンツ読み込み
脆弱性 CVE-2025-64401 は、IFrame 要素を介してリモート・ドキュメント読み込みを許可し、CVE-2025-64402 は OLE オブジェクトを介して同じ問題を引き起こす。脆弱性 CVE-2025-64403 は、外部データソースを介して Calc スプレッドシート・アプリを悪用し、CVE-2025-64404 は背景画像とバレット画像を悪用する。
さらに、脆弱性 CVE-2025-64405 は DDE 関数を操作し、ユーザーの操作を必要とせずにリモート・コンテンツを不正に取得する。
これらのリモート・コンテンツ読み込みの脆弱性を悪用する攻撃者は、マルウェアの配信や機密情報の窃取という機会を生み出す。つまり、正当に見える Office ドキュメントに悪意のコンテンツを埋め込むことで、標的型フィッシング・キャンペーンの展開が可能になる。
メモリ破損とデータ窃取
前述の不正なコンテンツの読み込みに加えて、脆弱性 CVE-2025-64406 は、CSV ファイルのインポート中に深刻なメモリ破損の脆弱性をもたらすものだ。この脆弱性が特別に細工された CSV ファイルを介して悪用された場合には、任意のコード実行にいたる可能性がある。
上記の CVE-2025-64406 と、脆弱性 CVE-2025-64407 が連鎖すると、URL フェッチにより任意の INI ファイルの値と環境変数が抽出されてしまう。一連の脆弱性を悪用する攻撃者は、影響を受けるシステムから機密のコンフィグ・データやシステム情報を抽出できる。
ユーザーにとって必要なことは、Apache OpenOffice 4.1.16 への速やかなアップデートにより、これらの脆弱性を修正することだ。バージョン 4.1.16 未満が、これらの脆弱性の影響を受ける。
ドキュメント処理に OpenOffice を利用している組織は、パッチ管理スケジュールにおいて、このアップデートを優先する必要がある。なお、前回のバージョン 4.1.15 では、解放後メモリ使用/Base における任意のファイル書き込み/マクロ実行などの脆弱性が修正されている。
これらの多層的な修正が示すのは、OpenOffice コードベースにおける継続的なセキュリティ上の課題である。OpenOffice システム管理者は、すべてのシステムにバージョン 4.1.16 を導入し、マクロ実行ポリシーを制限することが望ましい。
また、不要な DDE 機能を無効化し、ネットワーク監視を実装することで、疑わしいドキュメント読み込みの動作を検出すべきである。アップデートが完全に展開されるまで、信頼できないソースからのドキュメントに注意する必要がある。
OpenOffice の問題は、リモートからの不正なコンテンツ読み込みを適切に阻止できない脆弱性にあります。特に IFrame/OLE/外部データソースなどの、複数の経路からの外部ファイルの取り扱いが原因となり、悪意ある文書を読み込むリスクが生まれます。また、CSV 読み込み処理の不備によるメモリ破損など、内部処理の安全性にも問題が見られます。こうした問題は、正しく見える文書でも裏側で攻撃が行われてしまうため注意が必要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、OpenOffice で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.