「Apache OpenOffice」に致命的な脆弱性 ～最新版v4.1.14への更新を

Apache財団、「Apache OpenOffice」v4.1.14で修正した脆弱性の内容を公表

　先月末にリリースされた「Apache OpenOffice 4.1.14」では、3件の脆弱性が修正されているとのこと。The Apache Software Foundationが明らかにしている。

　修正された脆弱性は以下の通り（括弧内は深刻度）。

• CVE-2022-38745：Javaクラスのパスに空のエントリを追加できるため、カレントディレクトリから任意のJavaコードを実行できてしまう（Moderate）
• CVE-2022-40674：「libexpat」ライブラリ（v2.4.9およびそれ以降）における解放後メモリ利用（use-after-free）（Moderate）
• CVE-2022-47502：ドキュメントに埋め込まれたマクロリンクがアクティブになるだけで承認なしに実行される（Critical）

　いずれも悪用は確認されていないが、「CVE-2022-47502」に関しては実証コードがすでに出回っており、深刻度が最大の「Critical」と評価されている。一刻も早い対策が必要だ。

　「Apache OpenOffice」は、オープンソースのオフィス統合環境。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロード可能。Windows版はWindows XP/Vista/7/8/8.1/10/11およびWindows Server 2003/2012に対応しており、窓の杜ライブラリからもダウンロードできる。