オープンソースのオフィス統合環境「Apache OpenOffice 4.1.15」が公開

Apache財団、「Apache OpenOffice」v4.1.15で修正した脆弱性の内容を公表

　The Apache Software Foundation（ASF）は12月22日、オープンソースのオフィス統合環境「Apache OpenOffice 4.1.15」を公開した。のちに更新されたセキュリティアドバイザリによると、このバージョンでは以下の4件の脆弱性が修正されているとのこと。

• CVE-2012-5639：埋め込まれたコンテンツが警告なしに開かれる
• CVE-2022-43680：内部で用いられている「libexpat」ライブラリ（v2.4.9までのバージョン）にはメモリ不足の状況で解放後メモリ利用（use-after free）が発生する
• CVE-2023-1183：「database/script」を含むOBDファイルに細工を施すことで、指定したパスへ新規ファイルを書き込むことができる
• CVE-2023-47804：ドキュメントに埋め込まれたマクロリンクがアクティブになるだけで承認なしに実行される。「CVE-2022-47502」の応用例

　深刻度の評価はいずれも「Moderate」で、「Apache OpenOffice 4.1.14」およびそれ以前のバージョンに影響する。攻撃事例は確認されていないが、「CVE-2022-43680」を除き、実証コードはすでに明らかにされており、できるだけ早い対処が望ましい。

　なお、一部の脆弱性は「LibreOffice」にも影響するようだが、すでに修正済み。迅速なセキュリティアップデートを期待するならば、「LibreOffice」を利用するべきだろう。

　「Apache OpenOffice」は、オープンソースのオフィス統合環境。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロード可能。Windows版はWindows XP/Vista/7/8/8.1/10/11およびWindows Server 2003/2012に対応しており、窓の杜ライブラリからもダウンロードできる。Windows 10/11環境であれば「Microsoft Store」からインストールすることも可能。