LibreOffice 6.3リリース、イベントハンドラーによるLibreLogoマクロの実行をブロック

2019年8月12日 09:16

小

中

大

印刷

記事提供元:スラド

 The Document Foundationは8日、LibreOffice 6.3をリリースした(アナウンスリリースノートThe Registerの記事)。

LibreOfficeのタートルグラフィックス描画機能LibreLogoでは、Writer上に書いた一部のPythonコードがそのまま実行されてしまう問題があり、イベントハンドラーによるマクロ実行と組み合わせることで任意コードが実行可能となっていた。この脆弱性はLibreOffice 6.2.5で修正されたが、ハイパーリンクのイベントハンドラーからのLibreLogoマクロ呼び出しはブロックされるようになったものの、「文書を開いた時」などのイベントではブロックされていなかった。

アナウンスやリリースノートでは特に触れられていないが、LibreOffice 6.3では文書操作などのイベントでもLibreLogoマクロの呼び出しがブロックされるようになったようだ。一方、Writer上のPythonコード実行はブロックされておらず、LibreLogoツールバーから「Logoプログラムの実行」をクリックすればPythonコードを実行できる。また、現在もLibreLogoは標準でインストールされるオプション機能となっている。

なお、LibreOfficeのダウンロードページでは安定版と最新版の2バージョンを提供しており、今回の問題を受けて安定版が一時消えていたが、LibreOffice 6.3リリースに伴ってLibreOffice 6.2.5が安定版に移動している。ただし、LibreOffice 6.2.5では上述のようなイベントからのLibreLogoマクロ呼び出しはブロックされないので注意が必要だ。LibreLogoマクロはマクロのセキュリティ設定にかかわらず、ユーザーに確認を求めることなく実行される。

 スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | スラッシュバック

 関連ストーリー:
LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない 2019年08月03日

※この記事はスラドから提供を受けて配信しています。

関連キーワード脆弱性セキュリティLibreOfficePython

広告

広告

写真で見るニュース

  • 開会式用公式服装姿を披露するアスリートたち
  • 画像はイメージです。
  • リサイクルペットボトルによる720mlペットボトル商品。(写真:サントリーグループ発表資料より)
  • ネイティブキャンプ英会話のイメージ。(画像: ネイティブキャンプの発表資料より)
  • 718 ボクスター GTS 4.0(画像: ポルシェの発表資料より)
  • 新型名阪特急「ひのとり」。(画像: KNT-CTホールディングスの発表資料より)
  • 画像はイメージです。
 

広告

ピックアップ 注目ニュース