LibreOfficeとApache OpenOfficeに影響を与えるセキュリティ上の欠陥が、オープンソースのオフィススイートのうちの1つで修正されました。もう1つは依然として脆弱な状態にあるようです。
どのアプリがまだパッチ適用されていないのか推測する前に、Apache OpenOfficeが長年にわたり、より多くの貢献者を集めるのに苦労してきたことを考えてみてください。プロジェクトにコードを追加する人の数は前回確認した時点から増加しているにもかかわらず、プロジェクトは1月にApache Foundationに提出した報告書を未提出のままにしています。結局のところ、セキュリティホールはパッチ適用されていないようです。
セキュリティ研究者の Alex Inführ 氏が特定した問題は、ODT (OpenDocument Text) ファイルに埋め込まれたイベントをトリガーすることでリモート コード実行を実現する方法があることです。
onmouseover金曜日のブログ投稿で、Inführ 氏は、ODT ファイル内のリンクにイベントを追加することで、OpenDocument スクリプト フレームワークを悪用する方法を見つけた経緯を説明しています。
ユーザーのマウス ポインターがリンク上に移動したときに発生するこのイベントは、ローカル ディレクトリをトラバースしてローカル Python スクリプトを実行できます。
Inführ 氏は、脆弱性を悪用するためにさまざまなアプローチを試した後、LibreOffice に同梱されている Python インタープリタに含まれる Python ファイル内の特定の関数を呼び出すイベントを操作できることを発見しました。
シュレーディンガーのアプリ、Apache OpenOffice:それが生きているのか死んでいるのか誰も知らないし、誰も中身を見たいとは思っていない
続きを読む
「解決策として、Python の解析コードをもう少し詳しく調べたところ、Python スクリプト内で呼び出したい関数を指定できるだけでなく、パラメータを渡すことも可能であることがわかりました」と彼は語った。
このエクスプロイトは Windows でテストされており、Linux でも動作するはずです。
Inführ氏は10月18日にこのバグを報告し、月末までにLibreOfficeで修正されたと述べています。RedHatは11月中旬にこのバグにCVE-2018-16858を割り当て、Inführ氏に2019年1月31日を開示日としました。
2月1日にLibreOfficeの修正通知と同時に公開した時点では、OpenOfficeはまだパッチが適用されていませんでした。Inführ氏は、OpenOffice 4.16がまだ修正されていないにもかかわらず、情報開示を進めることができると改めて確認したと述べています。
彼が考案した概念実証エクスプロイトは、OpenOfficeではそのままでは動作しません。これは、OpenOfficeがパッチ未適用版のLibreOfficeのようにパラメータの受け渡しを許可していないためです。しかし、パストラバーサルの問題を悪用してローカルのPythonファイルを実行し、さらなる悪意のある攻撃や損害を引き起こすことは依然として可能だと彼は述べています。
たとえば、特定のターゲットを絞ったネットユーザーが騙されて ZIP ファイルを開き、ODT と Python スクリプトを解凍し、被害者がリンクの上にマウスを移動したときに ODT ドキュメントが Python スクリプトを実行しようとするといった事態を想定しています。
The Registerは、 OpenOfficeの貢献者2名に連絡を取り、何が起こっているのかを尋ねようとしましたが、返答はありませんでした。
Inführ によれば、OpenOffice ユーザーはインストール フォルダ内のファイルを削除するか名前を変更することでリスクを軽減できますpythonscript.py。®
