セキュリティ

SECURITY

公開：2024-05-18

LibreOfficeにスクリプト実行の脆弱性CVE-2024-3044、7.6.7または24.2.3へのアップグレードを

text: XEXEQ編集部

LibreOfficeの脆弱性CVE-2024-3044に関する記事の要約

• LibreOfficeの特定バージョンにスクリプト実行の脆弱性
• グラフィックのクリックイベントにスクリプト紐付け可能
• 警告なくスクリプトが実行される危険性あり
• 7.6.7または24.2.3へのアップグレードが推奨される

LibreOfficeで深刻な脆弱性が発見される

LibreOfficeの特定のバージョンで、グラフィックのクリックイベントにスクリプトを紐付けられる脆弱性が発見された^[1]。この脆弱性により、ユーザーが意図せずスクリプトを実行してしまう危険性がある。

脆弱性の原因は、組み込みのスクリプトを警告なしに実行できてしまう点だ。以前のバージョンではこれらのスクリプトは信頼できるものとみなされていたが、現在は信頼できないものとみなされている。

この問題に対処するため修正版の7.6.7と24.2.3では、ドキュメントの読み込み時に決定されるユーザーのマクロ実行許可が、これらのハンドラーにも適用されるようになった。ユーザーはこの脆弱性を回避するため、7.6.7または24.2.3へのアップグレードが推奨される。

CVE-2024-3044に関する考察

今回の脆弱性により、LibreOfficeユーザーが意図しないスクリプトを実行させられる可能性がある。悪意のある文書を開いただけで、ユーザーのシステムが危険にさらされる恐れがあるだろう。

今後は、スクリプトの実行許可をユーザーが細かく制御できる機能の追加が望まれる。また、潜在的に危険なスクリプトについては、実行前に明示的な警告を表示するなどの対策も必要だ。LibreOfficeの安全性向上に向けた継続的な取り組みに期待したい。

参考サイト

1. ^ LibreOffice. 「CVE-2024-3044 | LibreOffice - Free Office Suite - Based on OpenOffice - Compatible with Microsoft」. https://www.libreoffice.org/about-us/security/advisories/cve-2024-3044/, (参照 24-05-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧