パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LibreOffice 6.3リリース、イベントハンドラーによるLibreLogoマクロの実行をブロック」記事へのコメント

  • まず、自ベンダーで無害に思えたlogoのスクリプトであっても、
    マクロ実行の一種では有るのだから「LibreLogoの実行もデフォルトではブロックしましょう。」と誰か突っ込む奴はいなかったんだろうか。
    しかも、イベントハンドラーが有効になっていたのがより悪い。
    コミット時にセキュリティ関連をレビューする人は居なかったのだろうか。

    更に、LibreLogoといった「オマケ」機能を、デフォルト有効化するのは止めましょう。
    そいつは、ライバルのMSが過去にやった悪しき風習で、セキュリティホールの元だぞ。
    最低でも、拡張機能マネージャー等エンドユーザーが簡単に殺せるようにすべきで

    • by Anonymous Coward

      そもそも、LibreLogoの実行でPythonの生スクリプトが動くのがいかんのだよね?

      LibreLogoの言語仕様がいまいちわからんのだが、ドキュメント外に影響を及ぼすものでは無いのだろう。
      であればLibreOfficeの「マクロ」レベルのスクリプト制御は不要としてもいい。
      「Logoプログラムの実行」をクリックしないと実行できないのなら、想定外の起動の懸念要素はほぼ無いだろう。

      しかし…そんなバグ入るかというか、直さ/せないもんなのかってのがどうもわからん。

      • by Anonymous Coward on 2019年08月12日 17時16分 (#3667924)

        そう、その通り。
        LibreLogoがPythonで実装されているからなのか、任意のPythonスクリプトが動いてしまうのが問題。
        Logoが任意のPythonスクリプトが動作するという言語しようなら仕方ないかもしれない。
        でも、だったらVBAマクロのように毎回許可を求めたりするコントロール機能は必要になる。
        でも、現時点ではそんな機能は無い。

        しかも、不味い事にLibreLogoは隠し文字(display:none的なもの)も普通に実行する。
        つまり、無害なLogoスクリプトを表示し、悪意あるPythonスクリプトを隠し文字にしたODF文書を配布してしまえば良い。
        そうすれば、ターゲットは、無害なLogoスクリプトを実行したつもりで、悪意あるスクリプトも実行してくれる。
        といった、かなりヤバイ状況なのに、呑気にLibreLogoの穴をそのままにしてる訳です。

        実は既に悪用されてるかもね。

        親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...