Weitere Probleme mit rtf-Dokumenten in AbiWord und KWord
Die Textverarbeitungen enthalten weitere Fehler beim Verarbeiten von Rich-Text-Format-Dateien, durch die ein Angreifer Programmcode einschleusen und zur AusfĂĽhrung bringen kann.
Die Textverarbeitungen AbiWord und KWord weisen weitere Fehler beim Verarbeiten von Rich-Text-Format-Dateien (.rtf) auf, durch die ein Angreifer mit böswillig manipulierten Dokumenten Programmcode einschleusen und zur Ausführung bringen kann. In AbiWord wird dies durch mehrere Pufferüberläufe aufgrund von fehlenden oder inkorrekten Längenprüfungen ausgelöst; KWord enthält einen Heap-basierten Buffer Overflow im rtf-Importmodul.
Gerade rtf galt bisher als sichere Alternative zum Austausch von Dokumenten, das im Gegensatz zu doc-Dateien keine Scripte oder ähnliche, potenziell schadhafte Elemente enthalten kann. Ein weiteres Indiz dafür, dass die mögliche Schadenswirkung ziemlich unabhängig vom Dateityp ist. So können auch präparierte mp3- oder avi-Dateien durch Fehler in Mediaplayern die Systemsicherheit gefährden.
In AbiWord war vor kurzem schon ein ähnliches Problem im rtf-Parser gefunden worden. Von den jetzt entdeckten Lücken ist allerdings auch die neue 2.4er-Version betroffen. KWord enthält den Fehler in den KOffice-Versionen 1.2.0 bis einschließlich 1.4.1. Sowohl die AbiWord als auch KWord-Entwickler stellen Patches zur Verfügung. Die Linux-Distributoren liefern inzwischen oder in Kürze aktualisierte Pakete nach. Betroffene Benutzer sollten sich zügig die neuen Pakete herunterladen und installieren.
Siehe dazu auch: (dmk)
- AbiWord-Fehlermeldung auf der Debian-Sicherheitsliste
- Security Advisory zum KWord-Fehler von den KOffice-Entwicklern
