LibreOffice 6.3リリース、イベントハンドラーによるLibreLogoマクロの実行をブロック

2019年8月12日 09:16

小

中

大

印刷

記事提供元:スラド

 The Document Foundationは8日、LibreOffice 6.3をリリースした(アナウンスリリースノートThe Registerの記事)。

LibreOfficeのタートルグラフィックス描画機能LibreLogoでは、Writer上に書いた一部のPythonコードがそのまま実行されてしまう問題があり、イベントハンドラーによるマクロ実行と組み合わせることで任意コードが実行可能となっていた。この脆弱性はLibreOffice 6.2.5で修正されたが、ハイパーリンクのイベントハンドラーからのLibreLogoマクロ呼び出しはブロックされるようになったものの、「文書を開いた時」などのイベントではブロックされていなかった。

アナウンスやリリースノートでは特に触れられていないが、LibreOffice 6.3では文書操作などのイベントでもLibreLogoマクロの呼び出しがブロックされるようになったようだ。一方、Writer上のPythonコード実行はブロックされておらず、LibreLogoツールバーから「Logoプログラムの実行」をクリックすればPythonコードを実行できる。また、現在もLibreLogoは標準でインストールされるオプション機能となっている。

なお、LibreOfficeのダウンロードページでは安定版と最新版の2バージョンを提供しており、今回の問題を受けて安定版が一時消えていたが、LibreOffice 6.3リリースに伴ってLibreOffice 6.2.5が安定版に移動している。ただし、LibreOffice 6.2.5では上述のようなイベントからのLibreLogoマクロ呼び出しはブロックされないので注意が必要だ。LibreLogoマクロはマクロのセキュリティ設定にかかわらず、ユーザーに確認を求めることなく実行される。

 スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | スラッシュバック

 関連ストーリー:
LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない 2019年08月03日

※この記事はスラドから提供を受けて配信しています。

関連キーワード脆弱性セキュリティLibreOfficePython

広告

広告

写真で見るニュース

  • 8月16日に行われたNASAによる発表の様子 (c) NASA Television
  • 「HondaJet Elite」(画像: 本田技研工業の発表資料より)
  • ダイハツ・タント(画像: ダイハツ工業の発表資料より)
  • あおり運転対策にこだわるなら、360度対応ドライブレコーダーの設置が考えられる。画像はイメージです。
  • 概要モードを表示し、「新しいデスク」をクリックすれば仮想デスクトップが追加される。目的ごとに使い分ければ作業効率が大幅にアップするだろう。
  • 「HomePod(ホームポッド)」(画像:アップルジャパンの発表資料より)
  • 「S-mile(スマイル)」によるデリバリーのイメージ。(画像: 藤田観光の発表資料より)
 

広告

ピックアップ 注目ニュース