Tutorials Brawte nfaq 0 Comments

LibreOfficeの担当者は、残念ながら部分的なパッチ適用後もスイートのセキュリティを擁護している

Table of Contents

LibreOfficeの担当者は、残念ながら部分的なパッチ適用後もスイートのセキュリティを擁護している

インタビューLibreOffice の管理者である Document Foundation は、コード実行の欠陥を修正する試みが「部分的」であることが判明した後、スイートのセキュリティを擁護した。

「LibreOfficeに関しては、これまでエンドユーザーに影響が出る前に全てのセキュリティ問題にパッチを当ててきました」と広報担当者はThe Regに語った。「今回の脆弱性については、バージョン6.2.5用のパッチをリリースしましたが、残念ながら部分的なものです。脆弱性を悪用する手段が他にもあるためです。この問題は来週リリースされるバージョン6.3と、バージョン6.2.6で修正される予定です。」

メールに書かれた爆弾のイラスト

サイレントマクロウイルスを阻止するためにLibreOfficeを今すぐ修正しましょう。そして、まだ修正していないウイルスを撃退する方法をご紹介します。

続きを読む

この問題は、ドキュメント内の単純なグラフィック描画命令をPythonに変換して実行するLibreLogo機能に関連しています。LibreLogoのRunコマンドをドキュメントイベントに接続することで、任意のPythonコードを自動的に実行させることができます。このコードは、システムコマンドを実行してコンピュータを乗っ取ることができます。

先月のこのアドバイザリによると、CVE-2019-9848は6月4日にLibreOfficeチームに開示され、7月1日のバージョン6.2.5のリリースで修正されたと考えられ、7月26日に一般公開されました。しかし、数日後、ユーザーはこの脆弱性が依然として存在していることに気付きました。

脆弱性が知られているバージョン6.1.6がダウンロードページで目立つように表示され、ビジネスユーザーに推奨されている理由を財団に尋ねたところ、「2つのバージョンを維持しており、企業での導入には、よりテストが進んでいる古いバージョンをお勧めします」と回答がありました。

私たちのインタビューの直後、財団はバージョン 6.1.6 が重要な位置から削除されたと発表しました。ただし、6.2.5 も脆弱性が残っているため、それほど安心はできません。

もう一つの問題は、マクロのセキュリティを最高レベルに設定しても、LibreOfficeの組み込みマクロがプロンプトなしで実行されることです。「今回の問題はマクロではなく、Pythonを起動するプログラムです」と説明を受けました。「LibreOfficeのデフォルト設定では、いかなる種類のマクロも実行されません。次のパッチでは、LibreLogoを起動する可能性のあるすべての方法に対応しますが、より安全にするために、LibreLogoを拡張機能に変換することも検討しています。」

マクロですか、それともマクロではないですか? これらは、セキュリティ設定でプロンプトを表示せずに実行されます。

マクロか、そうでないか?これらはセキュリティ設定でプロンプトなしで実行されます

この主張にもかかわらず、LibreLogo Runコマンドは確かにマクロのように見えます。LibreOfficeライブラリ内の「LibreOfficeマクロ」にリストされています。とはいえ、これらはユーザーマクロではありません。「これらはLibreOfficeインストールの一部であるため実行されます。長年存在していますが、問題は発生していません。」多くのマクロは「OpenOffice時代から存在している」とのことで、LibreOfficeが現在のApache OpenOfficeからフォークされたという事実に言及しています。

残念ながら、コードの古さは安全性の証明にはなりません。これらのマクロがセキュリティ設定を回避しているかどうかも疑問視されていますが、「CVE-2018-16858の時点で二重チェックが行われており、ドキュメントイベントハンドラーから組み込みスクリプトがサイレントに呼び出される可能性があることが判明していた」とも言われています。この脆弱性は2018年11月に報告されていました。

財団は、高いセキュリティ基準を維持していると主張しています。「私たちはオープンソースプロジェクトですが、1億人をはるかに超える、おそらく2億人近くのユーザーを抱えています。セキュリティを担当する専門家グループがあり、これはMicrosoftのような企業と全く同じです。Red Hatのような企業でLibreOfficeのセキュリティを担当している人材もいます。潜在的な脆弱性の情報源の一つとして、Coverity Scanのようなツールを複数利用しています。また、侵入テストを行うセキュリティ研究所とも連携しています。脆弱性データベースを見ると、LibreOfficeに影響を与える脆弱性の数はかなり限られていることがわかります。」

「ODM (OpenDocument) ファイルは、Microsoft Office ファイルよりもはるかに安全です。よりクリーンで、理解しやすく、一貫性があるからです。」

今後どうなるのでしょうか? 順調に進めば、数週間以内に現在のバージョンは両方とも修正リリースに置き換えられます。それまでの間、LibreLogoを無効にすることをお勧めします。LibreOfficeビルドにバンドルされている場合は、すぐにオフにしてください。

「ユーザーの皆様には、開くメールには常に細心の注意を払うことをお勧めします」と財団は付け加えた。もちろんこれは事実だが、悪意のあるメールは本物らしく見える場合があり、必然的に全てのユーザーがベストプラクティスに従うとは限らない。

この事件は、英国政府がThe Document Foundationの諮問委員会に加わったというニュースに暗い影を落とした。「政府に対するユーザーのニーズを満たすにはオープンスタンダードが重要であり、ODFはその実現に大きな役割を果たすと考えています」と、政府デジタルサービスのサービスデザイン・アシュアランス担当暫定ディレクター、ジョン・ストラドウィック氏は述べた。もしその熱意が政府機関でのLibreOfficeの運用にも及ぶのであれば、LibreLogoを無効にするよう配慮されていることを願う。®

Tutorials

Smart Recommendations

Discover More