Sicherheitswarnungen zu Office-Programmen betreffen meist schädlichen Makro-Code für Microsofts Office. In dieser Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings eine Warnmeldung veröffentlicht, die ausnahmsweise die Open-Source-Alternative LibreOffice für Windows, aber auch für Linux und macOS betrifft. Demnach verbergen sich in mehreren Versionen zwei aus der Ferne ausnutzbare Schwachstellen.
Betriebssystemabhängige Einschränkungen bezüglich der Ausnutzbarkeit nennt das BSI nicht. Vielmehr rät es allen LibreOffice-Anwendern zum zeitnahen Update auf die bereitstehende abgesicherte Version 6.2.5. Für Linux gibt es teilweise auch schon neue LibreOffice-Pakete.
Die Ausnutzung beider Lücken erfordert, dass LibreOffice-Anwender zunächst ein zu diesem Zweck speziell präpariertes Dokument öffnen. Bislang ist noch nichts über Angriffe "in freier Wildbahn" bekannt.
Remote Code Execution unter Mitwirkung des Anwenders
Wie der Warnmeldung des BSI zu entnehmen ist, betreffen die Schwachstellen alle LibreOffice-Versionen vor 6.2.5.
Details erläutern die Entwickler von LibreOffice in zwei Security Advisories. Demnach könnten anonyme, entfernte Angreifer eine der Lücken (CVE-2019-9848) missbrauchen, um auf Zielrechnern beliebige Befehle in der Programmiersprache Python auszuführen. Konkret geschieht die Befehlsausführung über die Programmierumgebung LibreLogo, die wiederum von (Document-)Event-Handlern aufgerufen wird, wenn Nutzer bestimmte Aktionen ausführen (mouse-Over, Klicks etc.). Der aktuelle Fix bewirkt, dass die Event-Handler LibreLogo nicht mehr aufrufen können.
Die zweite Lücke (CVE-2019-9849) erlaubt das Umgehen des LibreOffice-Sicherheitsmechanismus "Stealth Mode" und das anschließende Nachladen einer bestimmten Art von Grafiken ("Bullet Graphics") in geöffnete Dokumente. Welche praktischen (gefährlichen) Konsequenzen sich aus dieser Lücke ergeben könnten, geht aus dem Advisory nicht hervor.
Updates stehen bereit
Das LibreOffice-Team hat Version 6.2.5 der beliebten Büro-Suite für die drei unterstützten Betriebssysteme zum Download bereitgestellt.
Hinweise zu aktualisierten Linux-Packages gibt es bislang unter anderem von Debian (CVE-2019-9848 / CVE-2019-9849), Fedora und Ubuntu.
Quelle: LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite | heise online