Firmenlink

ESET

 

Kritische Lücke in LibreOffice und OpenOffice

Eine Sicherheitslücke in den freien Büro-Lösungen erlaubt Angreifern das Ausführen von Schadcode. Nutzern von LibreOffice steht bereits ein Update zur Verfügung.

von Stefan Bordel 05.02.2019

Office-Lösungen gehören für Angreifer zu den probatesten Mitteln, um unbemerkt Schadcode auf Systeme zu schleusen. So haben sich in der Vergangenheit oftmals Verschlüsselungstrojaner und andere Schädlinge über Office-Makros verbreitet. Aktuell sind speziell Nutzer der freien Büro-Lösungen LibreOffice und OpenOffice gefährdet, da eine kritische Lücke in den Tools das Ausführen von Schadcode erlaubt.

Der Sicherheitsspezialist Alex Inführ ist auf den Fehler gestossen und beschreibt in seinem Blog detailliert, was es mit der Schwachstelle auf sich hat. Laut Inführ sind sowohl Windows- als auch Linux-Nutzer von dem Bug betroffen. Bereits das Öffnen einer manipulierten ODT-Datei soll ausreichen, um Angreifern den Zugang zum System zu ebnen. Hierbei wird ein zuvor im Dokument integriertes Skript per Mouseover aktiviert. Sobald der Mauszeiger über den in der ODT-Datei präparierten Link fährt, wird eine vom Angreifer vordefinierte Python-Datei durch das Skript lokal ausgeführt. Der Nutzer erfährt von dem Vorgang nichts, da die Office-Tools keine Benachrichtigung ausspielen.

Inführ hatte den Fehler bereits Mitte Oktober vergangenen Jahres an die Entwickler der beiden Projekte weitergegeben. In LibreOffice wurde die Schwachstelle dann Ende Oktober behoben. Die aktuellen Versionen 6.1.4 und 6.0.7 sind daher schon abgesichert.

Bei OpenOffice hat man hingegen noch nicht auf den Fehler reagiert. Die derzeitige Version 4.1.6 ist demnach über die Sicherheitslücke verwundbar. Seit sich das LibreOffice-Projekt von OpenOffice abgespalten hatte, verlangsamt sich die Entwicklung der Lösung zu­se­hends. Schon im Jahr 2016 zog der Chef-Entwickler Dennis Hamilton ein mögliches Ende der alternativen Büro-Suite in Betracht. Bis dato ist die Software aber immer noch verfügbar – auch ohne Sicherheits-Updates.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.