2025年11月10日、Apache OpenOfficeは、最新版の4.1.16を公開し、計7件の脆弱性を修正しました。4.1.15までの全バージョンが影響を受けるため、速やかなアップデートが推奨されています。今回の修正には、CSVインポート処理で発生し得るメモリ破損(CVE-2025-64406)や、細工されたドキュメントからユーザーの確認なしに外部リソースが読み込まれてしまう不備(CVE-2025-64401〜64405)が含まれます。また、URLの取得機能を悪用してINI値や環境変数を流出させ得る問題(CVE-2025-64407)にも対処しています。
影響範囲とアップデート推奨
対象はApache OpenOffice 4.1.15以前です。
ユーザーは4.1.16へ更新することで、上記7件すべての脆弱性修正を適用できます。
OpenOfficeセキュリティチームは、最新リリースへの更新を強く推奨しています(公式セキュリティ・ブリテンにCVE一覧と修正状況を掲載)。
修正された主な問題点
-
CVE-2025-64406(メモリ破損):CSVインポート時の処理不備により、細工済みファイルでクラッシュやメモリ破壊が起きる可能性がありました。
-
CVE-2025-64407(情報漏えい):URLフェッチの扱いに不備があり、細工された文書からINIファイルの値や環境変数などの情報を外部に送出できる可能性がありました。
-
CVE-2025-64401〜64405(無確認の外部コンテンツ読み込み):以下の経路で、ユーザーのプロンプトなしに外部リソースが読み込まれる問題を修正しています。
-
IFrame(フローティングフレーム)経由(CVE-2025-64401)
-
OLEオブジェクト経由(CVE-2025-64402)
-
Calcの「外部データソース」機能経由(CVE-2025-64403)
-
背景画像・箇条書き用画像経由(CVE-2025-64404)
-
CalcのDDE(動的データ交換)関数経由(CVE-2025-64405)
-
これらの無確認読み込み系の不備は、細工されたドキュメントを開くだけで外部へのアクセスが発生し、偵察や不正通信の踏み台に悪用されるおそれがありました。プロジェクトは4.1.16でこれらの読み込み経路に対して適切な確認や制御を導入しています。
関連記事
Microsoft、2025年8月の定例パッチで107件の脆弱性を修正 -CVSS 9.8のRCE含む重大バグ多数(CVE-2025-53779)
Microsoftの2025年10月「月例パッチ」—172件の修正と6件のゼロデイ、Windows 10は最終配布に
カバー、ホロライブプロダクション 元所属タレントのなりすましアカウントを注意喚起
ギフティ、「giftee for Business」申込みサイトへの不正アクセスで迷惑メール 約58万件を送信
Broadcom(VMware)で複数の脆弱性(CVE-2025-41244,41245,41246)
HTTPプロキシ Squidに資格情報漏えいの可能性があるクリティカルな脆弱性(CVE-2025-62168)
SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)
Google、Chrome 142 安定版公開-20件の脆弱性修正
Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)
