Die Open-Source-Software-Sammlung von Büro-Anwendungen LibreOffice ist verwundbar. Ist eine Attacke erfolgreich, könnten Angreifer Dateien von Opfern löschen.
Aufgrund einer Schwachstelle (CVE-2020-12803) könnten Angreifer von Nutzern ausfüllbare Formulare in Dokumenten manipulieren. Bei Bedarf übermitteln die Formulare über Uniform Resource Identifier (URI) Eingaben beispielsweise an einen Webserver. Das funktioniert auch mit Dateien. Angreifer könnten das missbrauchen, um lokale Dateien zu überschreiben. Für eine erfolgreiche Attacke müsste ein Opfer aber mitspielen.
Die zweite Lücke (CVE-2020-12802) betrifft die Funktion, Elemente aus externen Quellen in Dokumente einzufügen. Aufgrund eines Fehlers kommt es im Stealth Modus, in dem ausschließlich Elemente aus vertrauenswürdigen Quellen geladen werden, zu einem Fehler und eventuell von Angreifern präparierte Grafiken könnten durch die Prüfung rutschen.
Welches Angriffsrisiko von den Schwachstellen in der Office-Suite ausgeht, ist derzeit nicht bekannt. Unbekannt ist auch, welche Betriebssysteme bedroht sind. Abgesichert ist die LibreOffice-Version 6.4.4.
- CVE-2020-12802 remote graphics contained in docx format retrieved in 'stealth mode'
- CVE-2020-12803 XForms submissions could overwrite local files