Update 31.7.2019, 17:00 Uhr: Die Sicherheitslücke in LibreOffice ist mit Version 6.2.5 offenbar doch nicht gestopft. 

PCtipp empfiehlt daher: Schalten Sie die betroffene Funktion «Libre Logo» generell aus. Die wenigsten Anwender verwenden diese überhaupt. Der untenstehende Artikel wurde entsprechend korrigiert. (sal)

Im freien Office-Paket LibreOffice wurde kürzlich eine Sicherheitslücke entdeckt, die das stille Ausführen von Makros erlaubt, wie The Register (engl.) berichtet. Und das ist höchst gefährlich. Hier alles zu den Optionen, die LibreOffice-Nutzer hierbei haben.

Anders als Microsoft Office (z.B. mit .docx/.docm in Word) unterscheidet LibreOffice bei den Dateitypen nicht zwischen Dateien mit und ohne Makros. Das bedeutet, dass man als Nutzer beispielsweise einem LibreOffice-Dokument im Dateiformat .odt nicht ansieht, ob es Makros enthält.

Eigentlich sollte LibreOffice vor dem Ausführen von Makros fragen, denn solche automatisch ausgeführten Skripte können auch auf Systemkomponenten zugreifen, Programme starten und im schlimmsten Fall sogar Schädlinge einschleusen und weiterverbreiten.

Die Sicherheitslücke, um die es hier geht, erlaubt ein stilles Ausführen der Makros, was hochgradig gefährlich ist. Für LibreOffice 6.2.5 (dies ist der Versionszweig für «Technik-Enthusiasten») war zunächst angegeben worden, die Sicherheitslücke sei seit Mitte Juli gestopft. 

Hierzu muss man über LibreOffice Folgendes wissen: LibreOffice unterhält zwei Entwicklungszweige. Der eine (derzeit Version 6.1.6) ist für Unternehmensanwender gedacht sowie für Nutzer, die bei neuen Funktionen lieber zurückhaltend sind. Der andere (neu 6.2.5) ist für jene Anwender, die gerne neue Funktionen ausprobieren, auch wenn diese noch nicht komplett stabil laufen. In diesem Zweig geht die Entwicklung etwas schneller voran.

Anders als ursprünglich gehofft, ist die erwähnte Sicherheitslücke auch in der aktuellen «Enthusiasten»-Version 6.2.5 nicht gestopft. Im «langsameren» Zweig klafft sie sowieso weiterhin. Sie sollten auf jeden Fall die neueste Version benutzen; sei es 6.2.5 oder 6.1.6. In beiden Versionen sollten Sie aber die betroffene Komponente namens «Libre Logo» deaktivieren – und nicht nur in 6.1.6, wie ursprünglich empfohlen.

Welche Version bei Ihnen im Moment installiert ist, sehen Sie beispielsweise im LibreOffice Writer via Hilfe/Über LibreOffice.

Prüfen Sie zuerst, ob Sie auf Ihrem LibreOffice-Zweig die aktuelle Version haben. Die brauchen Sie sowieso. Wenn oben rechts ein Weltkugel-Icon erscheint, fahren Sie drüber und klicken drauf, dann meldet dieses wohl ein Update. Falls es nicht erscheint, besuchen Sie die Downloadseite einfach direkt.

Schauen Sie nun nach, welches Update Ihnen vorgeschlagen wird.

Wenn LibreOffice Ihnen hier 6.2.5 empfiehlt, sind Sie auf der Enthusiasten-Schiene, wenn 6.1.6 empfohlen wird, auf der langsameren. In jedem Fall klicken Sie nun auf Herunterladen, dann landen Sie auf der Download-Seite von LibreOffice.

Wer auf dem «Enthusiasten»-Zweig ist oder zu diesem wechseln möchte, lädt nun die Version 6.2.5 herunter und installiert diese.

Falls Sie auf dem «langsameren» Zweig bleiben wollen, laden Sie 6.1.6 herunter und installieren jenes.

Egal, welche der beiden Versionen Sie verwenden: Setzen Sie die verwundbare Komponente ausser Gefecht, siehe folgenden Tipp. Hierzu müssen Sie die vorhin fürs Update heruntergeladene Installationsdatei noch behalten.

Damit liegt die Datei (hoffentlich) noch bereit, von der Sie das Update installiert haben. Sonst laden Sie die Datei einfach nochmals herunter.

Klicken Sie nun auf Start, tippen Sie systemst ein und öffnen Sie die Systemsteuerung. Gehen Sie darin via Programme zu Programme und Funktionen bzw. zu Programme und Features. Klicken Sie in der Liste der Programme LibreOffice (Obacht: nicht das «Help Pack») an und gehen Sie oben zu Ändern.

Es erscheint der Installations-Assistent. Klicken Sie in diesem auf Weiter, aktivieren Sie die Option Ändern und klicken erneut auf Weiter.

Klappen Sie Optionale Komponenten auf. Darin klappen Sie bei der Zeile Libre-Logo das kleine Menü auf und wählen die Option Diese Komponente wird nicht verfügbar sein. Klicken Sie auf Weiter und führen Sie den Assistenten zu Ende, wird die Komponente entfernt.

Bei der zu entfernenden Komponente «Libre-Logo» handelt es sich um eine Symbolleiste, die bestimmte Programmierfunktionen anbietet. Die allerwenigsten Nutzer würden diese vermissen.