請資安窗口協助轉知教職員工，LibreOffice近期修補的資安漏洞，攻擊者利用的過程中無需使用者互動，即可滲透電腦或伺服器，請盡速更新LibreOffice
軟體至24.8.4版以上。

為了節省成本，有些企業與政府會採用開放原始碼的辦公室生產力軟體，若有資安漏洞，勢必影響前端使用者，甚至伺服器存取文件的安全性。1月7日文件基金會（The
Document
Foundation）發布資安公告，指出他們在去年底發布的24.8.4版開源辦公室套件LibreOffice當中，修補兩項資安弱點CVE-2024-12426、CVE-2024-12425，最近通報這些漏洞的資安業者公布相關細節，指出一旦遭到利用，攻擊者就有機會在幾乎無須使用者互動的情況下進行攻擊。

根據文件基金會發布的資安公告，較為危險的是CVE-2024-12426，這項漏洞出現在URL截取功能，能用於滲透任意INI檔案的數值及環境變數，CVSS風險為6.7分；另一個漏洞CVE-2024-12425與路徑穿越有關，可被用於寫入任意TTF檔案，風險評分為2.4。

乍看之下，這些漏洞危險程度不高，但通報漏洞的資安業者Codean
Labs指出，這些漏洞都與LibreOffice載入文件檔案的過程有關，過程中無須使用者互動，無論是使用者開啟攻擊者提供的惡意檔案，或是伺服器以無頭模式（headless）執行LibreOffice轉換檔案，都會觸發上述弱點。.....

詳細新聞：https://www.ithome.com.tw/news/167494