Update: Kritische Sicherheitslücke in LibreOffice – jetzt patchen

Installieren Sie das aktuelle LibreOffice-Update und knipsen Sie die verwundbare Komponente aus. Lesen Sie hier, wie beides geht.

von Gaby Salvisberg 31.07.2019 (Letztes Update: 31.07.2019)

Update 31.7.2019, 17:00 Uhr: Die Sicherheitslücke in LibreOffice ist mit Version 6.2.5 offenbar doch nicht gestopft. 

PCtipp empfiehlt daher: Schalten Sie die betroffene Funktion «Libre Logo» generell aus. Die wenigsten Anwender verwenden diese überhaupt. Der untenstehende Artikel wurde entsprechend korrigiert. (sal)

Im freien Office-Paket LibreOffice wurde kürzlich eine Sicherheitslücke entdeckt, die das stille Ausführen von Makros erlaubt, wie The Register (engl.) berichtet. Und das ist höchst gefährlich. Hier alles zu den Optionen, die LibreOffice-Nutzer hierbei haben.

Worum gehts bei dieser Lücke?

Anders als Microsoft Office (z.B. mit .docx/.docm in Word) unterscheidet LibreOffice bei den Dateitypen nicht zwischen Dateien mit und ohne Makros. Das bedeutet, dass man als Nutzer beispielsweise einem LibreOffice-Dokument im Dateiformat .odt nicht ansieht, ob es Makros enthält.

Eigentlich sollte LibreOffice vor dem Ausführen von Makros fragen, denn solche automatisch ausgeführten Skripte können auch auf Systemkomponenten zugreifen, Programme starten und im schlimmsten Fall sogar Schädlinge einschleusen und weiterverbreiten.

Die Sicherheitslücke, um die es hier geht, erlaubt ein stilles Ausführen der Makros, was hochgradig gefährlich ist. Für LibreOffice 6.2.5 (dies ist der Versionszweig für «Technik-Enthusiasten») war zunächst angegeben worden, die Sicherheitslücke sei seit Mitte Juli gestopft. 

Hierzu muss man über LibreOffice Folgendes wissen: LibreOffice unterhält zwei Entwicklungszweige. Der eine (derzeit Version 6.1.6) ist für Unternehmensanwender gedacht sowie für Nutzer, die bei neuen Funktionen lieber zurückhaltend sind. Der andere (neu 6.2.5) ist für jene Anwender, die gerne neue Funktionen ausprobieren, auch wenn diese noch nicht komplett stabil laufen. In diesem Zweig geht die Entwicklung etwas schneller voran.

LibreOffice gibts in zwei Entwicklungszweigen; eine mit Fokus auf Stabilität, eine für Enthusiasten LibreOffice gibts in zwei Entwicklungszweigen; eine mit Fokus auf Stabilität, eine für Enthusiasten Zoom© pctipp.ch

Anders als ursprünglich gehofft, ist die erwähnte Sicherheitslücke auch in der aktuellen «Enthusiasten»-Version 6.2.5 nicht gestopft. Im «langsameren» Zweig klafft sie sowieso weiterhin. Sie sollten auf jeden Fall die neueste Version benutzen; sei es 6.2.5 oder 6.1.6. In beiden Versionen sollten Sie aber die betroffene Komponente namens «Libre Logo» deaktivieren – und nicht nur in 6.1.6, wie ursprünglich empfohlen.

Welche Version bei Ihnen im Moment installiert ist, sehen Sie beispielsweise im LibreOffice Writer via Hilfe/Über LibreOffice.

Hier sehen Sie, welche LibreOffice-Version installiert ist Hier sehen Sie, welche LibreOffice-Version installiert ist Zoom© pctipp.ch

Lesen Sie auf der nächsten Seite die detaillierten Anleitungen, entweder zum Upgrade auf 6.2.5 oder zum Deaktivieren der verwundbaren Komponente

Upgraden oder ausknipsen?

Prüfen Sie zuerst, ob Sie auf Ihrem LibreOffice-Zweig die aktuelle Version haben. Die brauchen Sie sowieso. Wenn oben rechts ein Weltkugel-Icon erscheint, fahren Sie drüber und klicken drauf, dann meldet dieses wohl ein Update. Falls es nicht erscheint, besuchen Sie die Downloadseite einfach direkt.

Hier würde LibreOffice ein Update melden, wenn eins da ist Hier würde LibreOffice ein Update melden, wenn eins da ist Zoom© pctipp.ch

Schauen Sie nun nach, welches Update Ihnen vorgeschlagen wird.

Welche Version wird Ihnen vorgeschlagen? Welche Version wird Ihnen vorgeschlagen? Zoom© pctipp.ch

Wenn LibreOffice Ihnen hier 6.2.5 empfiehlt, sind Sie auf der Enthusiasten-Schiene, wenn 6.1.6 empfohlen wird, auf der langsameren. In jedem Fall klicken Sie nun auf Herunterladen, dann landen Sie auf der Download-Seite von LibreOffice.

Wer auf dem «Enthusiasten»-Zweig ist oder zu diesem wechseln möchte, lädt nun die Version 6.2.5 herunter und installiert diese.

Falls Sie auf dem «langsameren» Zweig bleiben wollen, laden Sie 6.1.6 herunter und installieren jenes.

Egal, welche der beiden Versionen Sie verwenden: Setzen Sie die verwundbare Komponente ausser Gefecht, siehe folgenden Tipp. Hierzu müssen Sie die vorhin fürs Update heruntergeladene Installationsdatei noch behalten.

Verwundbare Komponente ausknipsen

Damit liegt die Datei (hoffentlich) noch bereit, von der Sie das Update installiert haben. Sonst laden Sie die Datei einfach nochmals herunter.

Klicken Sie nun auf Start, tippen Sie systemst ein und öffnen Sie die Systemsteuerung. Gehen Sie darin via Programme zu Programme und Funktionen bzw. zu Programme und Features. Klicken Sie in der Liste der Programme LibreOffice (Obacht: nicht das «Help Pack») an und gehen Sie oben zu Ändern.

Hier können Sie die Installation ändern Hier können Sie die Installation ändern Zoom© pctipp.ch

Es erscheint der Installations-Assistent. Klicken Sie in diesem auf Weiter, aktivieren Sie die Option Ändern und klicken erneut auf Weiter.

Der Installations-Assistent von LibreOffice Der Installations-Assistent von LibreOffice Zoom© pctipp.ch

Klappen Sie Optionale Komponenten auf. Darin klappen Sie bei der Zeile Libre-Logo das kleine Menü auf und wählen die Option Diese Komponente wird nicht verfügbar sein. Klicken Sie auf Weiter und führen Sie den Assistenten zu Ende, wird die Komponente entfernt.

Hier schalten Sie die verwundbare (und ohnehin selten genutzte) Komponente Libre-Logo aus Hier schalten Sie die verwundbare (und ohnehin selten genutzte) Komponente Libre-Logo aus Zoom© pctipp.ch

Bei der zu entfernenden Komponente «Libre-Logo» handelt es sich um eine Symbolleiste, die bestimmte Programmierfunktionen anbietet. Die allerwenigsten Nutzer würden diese vermissen.

Seite 1 von 2
       
       

Kommentare

Keine Kommentare

Sie müssen eingeloggt sein, um Kommentare zu verfassen.