Angreifer könnten digitale Unterschrift in LibreOffice und OpenOffice fälschen
Es gibt wichtige Sicherheitsupdates für die Office-Pakete LibreOffice und OpenOffice.
(Bild: Artur Szczybylo/Shutterstock.com)
Wer im Büro oder privat mit LibreOffice oder OpenOffice arbeitet, sollte die Office-Pakete aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Opfer mit manipulierten signierten Dokumenten austricksen.
Wie aus einer Apache-Mailingliste hervorgeht, sind Sicherheitsforscher der Ruhr Universität Bochum auf zwei Sicherheitslücken (CVE-2021-25635 LibreOffice, CVE-2021-41832 OpenOffice) gestoßen. An beiden Schwachstellen könnten Angreifer ansetzen, um mit dem Office-Paket erstellte Dokumente so aussehen zu lassen, als wären sie von einer vertrauenswürdigen Quelle signiert. Den Sicherheitsforschern zufolge ist die Ursache für dieses Sicherheitsproblem eine unzureichende Zertifikatsprüfung.
Unvertrauenswürdig
Aufgrund der vermeintlich vertrauenswürdigen Unterschrift könnten Opfer sich hinters Licht führen lassen und Anweisungen im Dokument befolgen, durch die Schadcode auf Systemen landet. Eigentlich sollen signierte Dokumente garantieren, dass sie aus einer vertrauenswürdigen Quelle stammen und nach der Fertigstellung nicht von Dritten manipuliert wurden.
Auch wenn die Forscher den Schweregrad nur als "moderat" einstufen, sollten Nutzer die Office-Pakete auf den aktuellen Stand bringen. LibreOffice ist in den Versionen ab 7.0.5 und 7.1.1 und OpenOffice ist in der Ausgabe ab 4.1.11 gegen solche Attacken abgesichert. Alle vorigen Versionen sollen bedroht sein.
[UPDATE 12.10.2021 12:20 Uhr]
Versionsnummer von LibreOffice korrigiert. (des)
