無料のオフィススイート LibreOffice に脆弱性 (CVE-2022-3140) が確認されました。この脆弱性により、文書内で特別に用意されたリンクがクリックされた場合、または文書の操作中に特定のイベントがトリガーされた場合に、任意のスクリプトが実行される可能性があります。この問題は、LibreOffice 7.3.6 および 7.4.1 アップデートで修正されました。
この脆弱性は、LibreOffice に固有の追加マクロ呼び出しスキーム「vnd.libreoffice.command」のサポートが追加されたことが原因で発生します。このスキームは、LibreOffice を MS SharePoint サーバーと統合するために使用される URI でも使用できます。攻撃者は、このような URI を使用して、任意の引数を持つ内部マクロを呼び出すリンクを作成する可能性があります。ドキュメント内のイベントがクリックまたはアクティブ化されると、そのようなリンクを使用して、ユーザーに警告を表示せずにスクリプトを実行できます。
出所: オープンネット.ru