LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite

  • Allgemein

  • mad.de
  • 10456 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite

    Das BSI warnt derzeit vor zwei aus der Ferne ausnutzbare Schwachstellen in LibreOffice für Windows, Linux und macOS. Version 6.2.5 beseitigt sie.

    Sicherheitswarnungen zu Office-Programmen betreffen meist schädlichen Makro-Code für Microsofts Office. In dieser Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings eine Warnmeldung veröffentlicht, die ausnahmsweise die Open-Source-Alternative LibreOffice für Windows, aber auch für Linux und macOS betrifft. Demnach verbergen sich in mehreren Versionen zwei aus der Ferne ausnutzbare Schwachstellen.

    Betriebssystemabhängige Einschränkungen bezüglich der Ausnutzbarkeit nennt das BSI nicht. Vielmehr rät es allen LibreOffice-Anwendern zum zeitnahen Update auf die bereitstehende abgesicherte Version 6.2.5. Für Linux gibt es teilweise auch schon neue LibreOffice-Pakete.

    Die Ausnutzung beider Lücken erfordert, dass LibreOffice-Anwender zunächst ein zu diesem Zweck speziell präpariertes Dokument öffnen. Bislang ist noch nichts über Angriffe "in freier Wildbahn" bekannt.

    Remote Code Execution unter Mitwirkung des Anwenders
    Wie der Warnmeldung des BSI zu entnehmen ist, betreffen die Schwachstellen alle LibreOffice-Versionen vor 6.2.5.

    Details erläutern die Entwickler von LibreOffice in zwei Security Advisories. Demnach könnten anonyme, entfernte Angreifer eine der Lücken (CVE-2019-9848) missbrauchen, um auf Zielrechnern beliebige Befehle in der Programmiersprache Python auszuführen. Konkret geschieht die Befehlsausführung über die Programmierumgebung LibreLogo, die wiederum von (Document-)Event-Handlern aufgerufen wird, wenn Nutzer bestimmte Aktionen ausführen (mouse-Over, Klicks etc.). Der aktuelle Fix bewirkt, dass die Event-Handler LibreLogo nicht mehr aufrufen können.

    Die zweite Lücke (CVE-2019-9849) erlaubt das Umgehen des LibreOffice-Sicherheitsmechanismus "Stealth Mode" und das anschließende Nachladen einer bestimmten Art von Grafiken ("Bullet Graphics") in geöffnete Dokumente. Welche praktischen (gefährlichen) Konsequenzen sich aus dieser Lücke ergeben könnten, geht aus dem Advisory nicht hervor.

    Updates stehen bereit
    Das LibreOffice-Team hat Version 6.2.5 der beliebten Büro-Suite für die drei unterstützten Betriebssysteme zum Download bereitgestellt.

    Hinweise zu aktualisierten Linux-Packages gibt es bislang unter anderem von Debian (CVE-2019-9848 / CVE-2019-9849), Fedora und Ubuntu.


    Quelle: LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite | heise online