Newsletter heise-Bot heise-Bot
Alert!

LibreOffice: Verklickt – und Malware ausgeführt

Eine Sicherheitslücke im quelloffenen LibreOffice ermöglicht Angreifern, Opfern Schadcode unterzujubeln. Die müssen nur einmal klicken.

In Pocket speichern vorlesen Druckansicht 86 Kommentare lesen
Stilisiertes Bild: Spam und Malware auf und um dem Rechner

Manipulierte Dokumente können Opfern Schadcodes unterjubeln

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Die Open-Source-Bürosoftware-Suite LibreOffice ist von einer Sicherheitslücke betroffen. Durch das Verleiten von Opfern zum Öffnen eines bösartig präparierten Dokuments und das Klicken darin können Angreifer ihnen offenbar Schadcode unterjubeln, der ausgeführt wird.

In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler, dass die Büro-Software das Verknüpfen von Skripten mit Klick-Ereignissen auf Grafiken unterstütze. "Für betroffene Versionen von LibreOffice gibt es Szenarien, in denen eingebettete Skripte ohne Warnung ausgeführt werden, wenn Nutzer auf ein Dokument mit solchen On-Click-Handlern klicken", beschreiben die Programmierer das Problem (CVE-2024-3044, CVSS 8.8, Risiko "hoch").

LibreOffice: Risikoeinstufung der Lücke

Während das LibreOffice-Projekt sich mit einer konkreten Einstufung des Bedrohungsgrads vornehm zurückhält, hat das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Lücke mit einem CVSS-Wert von 8.8 als nur knapp am Status "kritisch" vorbei als hochriskant eingeordnet.

In frühen Versionen von LibreOffice seien solche Skripte als vertrauenswürdig eingestuft gewesen, inzwischen betrachte man sie jedoch als unsicher. Die Fehlerkorrektur sieht so aus, dass die von Nutzern bewilligten Rechte zur Ausführung von Makros, die beim Laden eines Dokuments vergeben werden, nun auch für diese On-Click-Handler verwendet werden.

Als Lösung des Sicherheitsproblems empfiehlt das Projekt, auf die fehlerbereinigten LibreOffice-Versionen zu aktualisieren. LibreOffice 24.2.3 und 7.6.7 stehen auf der Download-Seite des Projekts zum Herunterladen bereit. Linux-Nutzer sollten ihre Softwareverwaltung starten und prüfen, ob die fehlerbereinigten Versionen bereits installiert wurden.

Lesen Sie auch

Vor rund einem Jahr hatte das Ghostscript-Paket eine Sicherheitslücke in diverse Software-Installationen gerissen. So auch in LibreOffice, das Ghostscript mitbringt. Die Lücke ließ sich auch damals durch das Öffnen manipulierter Dokumente missbrauchen.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot