4月25日にLibreOfficeで修正された脆弱性、OpenOfficeではまだ未修正 57
オープンソースなのに…… 部門より
LibreOfficeおよびOpenOfficeで今年2月に発見された脆弱性について、LibreOfficeはすでに対応が完了しているにもかかわらず、OpenOfficeではまだ脆弱性が修正されていないという(TeleRead、divabot)。
問題の脆弱性は、CVE-2015-1774として報告されているもの。細工されたHWP形式(韓国でシェアの多いワードプロセッサ「アレアハングル」が利用するファイル形式)ドキュメントを読み込ませることで、任意のコードが実行される可能性があるという。HWP形式ファイルだけでなく、HWP形式ファイルに.docなどの拡張子を付けたものでも発生するとのことで、比較的影響は大きい。
LWN.netの7月8日付け記事によると、LibreOfficeはこの問題はバージョン4.3.7で修正したが、OpenOfficeは対応としてHWP形式ファイルのサポートを行う共有オブジェクトの削除をユーザーに提示し、さらに今後リリースが予定されているバージョン4.1.2では修正するとされたものの、実際にはまだ何も作業が進んでいないという(現時点でもバージョン4.1.2はリリースされていない)。
このような状態であることから、TeleReadやdivabotではOpenOfficeの利用を止めて、LibreOfficeに移行すべきと述べている。