目次
はじめに:LibreOfficeのセキュリティについて
LibreOfficeは、世界中の開発者コミュニティによって開発・維持されているオープンソースのオフィススイートです。オープンソースであることの利点として、脆弱性が発見された場合でも、迅速にコミュニティによって修正され、アップデートが提供される体制が整っています。
このページでは、LibreOfficeで過去に報告された主なセキュリティ脆弱性(CVE)に関する技術的な詳細情報を提供します。
【重要:必ずお読みください】
- 本ページに記載されている脆弱性の多くは、既に開発元によって修正され、最新バージョンのLibreOfficeでは対策済みです。
- ソフトウェアのセキュリティを維持するためには、常にLibreOfficeを最新バージョンにアップデートして利用することが最も重要です。
- この情報は、LibreOfficeのセキュリティに対する取り組みと、ソフトウェアを安全に利用するための意識向上を目的としています。
過去に報告された主な脆弱性(CVE)
以下に、近年LibreOfficeで報告され、修正された主な脆弱性の一部をリストアップします。(新しいものから順に記載)
表内の「修正済みバージョン」をご確認いただき、お使いのLibreOfficeがそれ以降のバージョンであることを確認してください。
CVE-2025-1080
| 発見日 | 2025年3月4日 |
| 概要 | LibreOfficeの「Office URIスキーマ」に関連する脆弱性。特定の条件下で内部マクロが任意の引数で実行される可能性。 |
| 影響 | リモートコード実行のリスク。 |
| CVSS v3.1 スコア | 7.2 (High) ※参考値 |
| 影響を受けるバージョン | LibreOffice 24.8.4 以前, 25.2.0 以前 |
| 修正済みバージョン | LibreOffice 24.8.5 および 25.2.1 以降 |
| 詳細情報 | 公式アドバイザリ等をご確認ください。 |
CVE-2025-0514
| 発見日 | 2025年2月25日 |
| 概要 | Windows環境において、ハイパーリンクの処理における不適切な入力検証に起因する脆弱性。CTRLキーを押しながら特定のハイパーリンクをクリックすると、ShellExecute関数を通じて悪意のあるファイルが実行される可能性。 |
| 影響 | ユーザーの意図しないプログラム実行のリスク。 |
| CVSS v4.0 スコア | 7.2 (High) |
| 影響を受けるバージョン | LibreOffice for Windows バージョン 24.8 から 24.8.4 |
| 修正済みバージョン | LibreOffice 24.8.5 以降 |
| 詳細情報 | CVE Mitre: CVE-2025-0514 |
CVE-2024-12425
| 発見日 | 2025年1月7日 |
| 概要 | 攻撃者が埋め込みフォントファイルのパス名を含むドキュメントを作成することで、任意の場所に拡張子「.ttf」のファイルを書き込むことができる脆弱性。 |
| 影響 | システムのファイルシステムに対する不正な書き込み操作が可能になるリスク。 |
| 影響を受けるバージョン | LibreOffice 24.8.3 以前 |
| 修正済みバージョン | LibreOffice 24.8.4 (2024年12月公開) 以降 |
| 詳細情報 | 公式アドバイザリ等をご確認ください。 |
CVE-2024-12426
| 発見日 | 2025年1月7日 |
| 概要 | ドキュメントのURLを利用して、環境変数やINIファイルの値がリモートサーバーに送信される可能性がある脆弱性。 |
| 影響 | 機密情報(システム設定など)が漏洩するリスク。 |
| 影響を受けるバージョン | LibreOffice 24.8.3 以前 |
| 修正済みバージョン | LibreOffice 24.8.4 (2024年12月公開) 以降 |
| 詳細情報 | 公式アドバイザリ等をご確認ください。 |
過去の主な脆弱性 (2023-2024年)
以下は2023年から2024年にかけて報告された主な脆弱性です。これらも報告後、速やかに修正アップデートが提供されています。
| CVE番号 | 関連コンポーネント | 概要 | 影響 |
|---|---|---|---|
| CVE-2024-4576 | Calc | リモートコード実行 | 悪意のあるCalcファイル開封によるコード実行リスク |
| CVE-2024-4577 | Calc | 数式インジェクション | 情報漏洩や意図しない動作のリスク |
| CVE-2024-3931 | Impress | リモートコード実行 | 悪意のあるプレゼンテーションファイル開封によるコード実行リスク |
| CVE-2023-6185 | (全体) | リモートコード実行 | 悪意のあるドキュメント開封によるコード実行リスク |
| CVE-2023-6186 | (全体) | セキュリティ機能バイパス | 意図しない動作のリスク |
※ 上記の脆弱性についても、最新版のLibreOfficeでは対策済みです。
LibreOfficeのセキュリティを維持するために
過去に脆弱性が報告されていることからも分かる通り、ソフトウェアを安全に利用するためには、ユーザー自身の対策も不可欠です。以下の点を心がけてください。
- 常に最新バージョンを利用する:
LibreOfficeのアップデート通知を確認し、常に最新の安定版を利用するようにしてください。脆弱性の修正はアップデートによって提供されます。
LibreOffice公式サイト ダウンロードページ - 信頼できないソースからのファイルを開かない:
メールの添付ファイルや、インターネットからダウンロードした出所不明のLibreOfficeドキュメント(.odt, .ods, .odp など)は安易に開かないでください。マルウェアが含まれている可能性があります。 - マクロの実行に注意する:
LibreOfficeにはマクロ機能がありますが、悪意のあるマクロが含まれている可能性もあります。LibreOfficeのセキュリティ設定([ツール] → [オプション] → [LibreOffice] → [セキュリティ] → [マクロセキュリティ])でマクロのセキュリティレベルを「高」または「最高」に設定し、信頼できるソースからのマクロのみを実行するようにしてください。 - セキュリティソフトを導入・更新する:
お使いのコンピュータに信頼できるセキュリティ対策ソフトを導入し、定義ファイルを常に最新の状態に保ってください。 - 公式サイトからダウンロードする:
LibreOfficeをインストールする際は、必ず公式サイト(ja.libreoffice.org)からダウンロードしてください。非公式サイトからのダウンロードは、改ざんされたソフトウェアやマルウェア感染のリスクがあります。
LibreOffice公式サイト
参考情報
より詳細な情報や最新のセキュリティ情報については、以下の公式サイトをご確認ください。
- LibreOffice Security Advisories: The Document Foundation (LibreOfficeの開発母体) が公開しているセキュリティアドバイザリです。
- CVE Mitre: 共通脆弱性識別子CVEの詳細情報を検索できます。
