LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite

Das BSI warnt derzeit vor zwei aus der Ferne ausnutzbaren Schwachstellen in LibreOffice für Windows, Linux und macOS. Version 6.2.5 beseitigt sie.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite

(Bild: pixabay (Collage))

Lesezeit: 2 Min.

Sicherheitswarnungen zu Office-Programmen betreffen meist schädlichen Makro-Code für Microsofts Office. In dieser Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings eine Warnmeldung veröffentlicht, die ausnahmsweise die Open-Source-Alternative LibreOffice für Windows, aber auch für Linux und macOS betrifft. Demnach verbergen sich in mehreren Versionen zwei aus der Ferne ausnutzbare Schwachstellen.

Betriebssystemabhängige Einschränkungen bezüglich der Ausnutzbarkeit nennt das BSI nicht. Vielmehr rät es allen LibreOffice-Anwendern zum zeitnahen Update auf die bereitstehende abgesicherte Version 6.2.5. Für Linux gibt es teilweise auch schon neue LibreOffice-Pakete.

Die Ausnutzung beider Lücken erfordert, dass LibreOffice-Anwender zunächst ein zu diesem Zweck speziell präpariertes Dokument öffnen. Bislang ist noch nichts über Angriffe "in freier Wildbahn" bekannt.

Wie der Warnmeldung des BSI zu entnehmen ist, betreffen die Schwachstellen alle LibreOffice-Versionen vor 6.2.5.

Details erläutern die Entwickler von LibreOffice in zwei Security Advisories. Demnach könnten anonyme, entfernte Angreifer eine der Lücken (CVE-2019-9848) missbrauchen, um auf Zielrechnern beliebige Befehle in der Programmiersprache Python auszuführen. Konkret geschieht die Befehlsausführung über die Programmierumgebung LibreLogo, die wiederum von (Document-)Event-Handlern aufgerufen wird, wenn Nutzer bestimmte Aktionen ausführen (mouse-Over, Klicks etc.). Der aktuelle Fix bewirkt, dass die Event-Handler LibreLogo nicht mehr aufrufen können.

Die zweite Lücke (CVE-2019-9849) erlaubt das Umgehen des LibreOffice-Sicherheitsmechanismus "Stealth Mode" und das anschließende Nachladen einer bestimmten Art von Grafiken ("Bullet Graphics") in geöffnete Dokumente. Welche praktischen (gefährlichen) Konsequenzen sich aus dieser Lücke ergeben könnten, geht aus dem Advisory nicht hervor.

Das LibreOffice-Team hat Version 6.2.5 der beliebten Büro-Suite für die drei unterstützten Betriebssysteme zum Download bereitgestellt.

Hinweise zu aktualisierten Linux-Packages gibt es bislang unter anderem von Debian (CVE-2019-9848 / CVE-2019-9849), Fedora und Ubuntu.

Update 26.07.19, 17:32: Wer sich für weitere Details zur Sicherheitslücke CVE-2019-9848 interessiert, findet diese jetzt auch in einem Blogpost ihres Entdeckers. (ovw)