News 31.07.2019, 15:00 Uhr

Update: Kritische Sicherheitslücke in LibreOffice – jetzt patchen

Installieren Sie das aktuelle LibreOffice-Update und knipsen Sie die verwundbare Komponente aus. Lesen Sie hier, wie beides geht.
Update 31.7.2019, 17:00 Uhr: Die Sicherheitslücke in LibreOffice ist mit Version 6.2.5 offenbar doch nicht gestopft. 
PCtipp empfiehlt daher: Schalten Sie die betroffene Funktion «Libre Logo» generell aus. Die wenigsten Anwender verwenden diese überhaupt. Der untenstehende Artikel wurde entsprechend korrigiert. (sal)
Im freien Office-Paket LibreOffice wurde kürzlich eine Sicherheitslücke entdeckt, die das stille Ausführen von Makros erlaubt, wie The Register (engl.) berichtet. Und das ist höchst gefährlich. Hier alles zu den Optionen, die LibreOffice-Nutzer hierbei haben.

Worum gehts bei dieser Lücke?

Anders als Microsoft Office (z.B. mit .docx/.docm in Word) unterscheidet LibreOffice bei den Dateitypen nicht zwischen Dateien mit und ohne Makros. Das bedeutet, dass man als Nutzer beispielsweise einem LibreOffice-Dokument im Dateiformat .odt nicht ansieht, ob es Makros enthält.
Eigentlich sollte LibreOffice vor dem Ausführen von Makros fragen, denn solche automatisch ausgeführten Skripte können auch auf Systemkomponenten zugreifen, Programme starten und im schlimmsten Fall sogar Schädlinge einschleusen und weiterverbreiten.
Die Sicherheitslücke, um die es hier geht, erlaubt ein stilles Ausführen der Makros, was hochgradig gefährlich ist. Für LibreOffice 6.2.5 (dies ist der Versionszweig für «Technik-Enthusiasten») war zunächst angegeben worden, die Sicherheitslücke sei seit Mitte Juli gestopft. 
Hierzu muss man über LibreOffice Folgendes wissen: LibreOffice unterhält zwei Entwicklungszweige. Der eine (derzeit Version 6.1.6) ist für Unternehmensanwender gedacht sowie für Nutzer, die bei neuen Funktionen lieber zurückhaltend sind. Der andere (neu 6.2.5) ist für jene Anwender, die gerne neue Funktionen ausprobieren, auch wenn diese noch nicht komplett stabil laufen. In diesem Zweig geht die Entwicklung etwas schneller voran.
LibreOffice gibts in zwei Entwicklungszweigen; eine mit Fokus auf Stabilität, eine für Enthusiasten
Anders als ursprünglich gehofft, ist die erwähnte Sicherheitslücke auch in der aktuellen «Enthusiasten»-Version 6.2.5 nicht gestopft. Im «langsameren» Zweig klafft sie sowieso weiterhin. Sie sollten auf jeden Fall die neueste Version benutzen; sei es 6.2.5 oder 6.1.6. In beiden Versionen sollten Sie aber die betroffene Komponente namens «Libre Logo» deaktivieren – und nicht nur in 6.1.6, wie ursprünglich empfohlen.
Welche Version bei Ihnen im Moment installiert ist, sehen Sie beispielsweise im LibreOffice Writer via Hilfe/Über LibreOffice.
Hier sehen Sie, welche LibreOffice-Version installiert ist
Lesen Sie auf der nächsten Seite die detaillierten Anleitungen, entweder zum Upgrade auf 6.2.5 oder zum Deaktivieren der verwundbaren Komponente



Kommentare
Es sind keine Kommentare vorhanden.