皆様 TDFのdiscussメーリングリストにて、以下のとおり脆弱性修正についてのお知らせがありました。 Windows版ユーザは、LibreOffice 7.0.5または7.1.2への更新をおすすめします。
7.0.5または7.1.2より前のバージョンでは、文書中のハイパーリンクをクリックした際に、拒否リストを 回避して実行可能ファイルを起動できたとのことです。 修正されたバージョンでは、この回避はブロックされています。 以下、お知らせの参考訳です ---------------- Windowsユーザーは7.0.5または7.1.2にアップグレードする必要があります。 LibreOfficeには、CTRLを押しながらクリックして、文書内のハイパーリンクを有効にする機能があります。 Windowsでは、リンクをシステムのShellExecute関数に渡して処理できます。LibreOfficeでは、実行可能な ファイルの起動を避けるために、ShellExecuteへの受け渡しをブロックする拡張機能の拒否リストが含まれ ています。 7.1.2より前の「LibreOffice7.1」シリーズ、および7.0.5より前の「LibreOffice 7.0」シリーズでは、リンクを 操作して拒否リストを回避できるため、拒否リストと一致しませんが、ShellExecuteが実行可能なタイプを 起動しようとします。 修正されたバージョンでは、この回避はブロックされています。 この問題を発見し、報告してくださったPositive SecurityのLukas Euler氏に感謝します。 ---------------- ---------- Forwarded message --------- From: Caolán McNamara <[email protected]> Date: 2021年4月16日(金) 4:57 Subject: [tdf-discuss] security related information, CVE-2021-25631 To: <[email protected]> tl;dr: Windows users should upgrade to 7.0.5 or 7.1.2 LibreOffice has a feature where hyperlinks in a document can be activated by CTRL+click. Under Windows the link can be passed to the system ShellExecute function for handling. LibreOffice contains a denylist of extensions that it blocks from passing to ShellExecute to avoid attempting to launch executables. In the LibreOffice 7-1 series in versions prior to 7.1.2, and in the 7- 0 series in versions prior to 7.0.5, the denylist can be circumvented by manipulating the link so it doesn't match the denylist but results in ShellExecute attempting to launch an executable type. In the fixed versions this circumvention has been blocked. Thanks to Lukas Euler of Positive Security for discovering and reporting this issue -- To unsubscribe e-mail to: [email protected] Problems? https://www.libreoffice.org/get-help/mailing-lists/how-to-unsubscribe/ Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette List archive: https://listarchives.documentfoundation.org/www/discuss/ Privacy Policy: https://www.documentfoundation.org/privacy -- Shinji Enoki [email protected] -- Unsubscribe instructions: E-mail to [email protected] Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette List archive: https://listarchives.libreoffice.org/ja/discuss/ Privacy Policy: https://www.documentfoundation.org/privacy
