LibreOffice anfällig für trojanische Word-Dateien
Die hinter LibreOffice stehende The Document Foundation gab bekannt, dass ein vor fünf Wochen veröffentlichtes Update kritische Lücken in dem Office-Paket schließt. Die Foundation will mit der verzögerten Bekanntgabe Anwender und Distributoren schützen.
- Ronald Eikenberg
Die hinter dem quelloffenen Office-Paket LibreOffice stehende The Document Foundation (TDF) enthüllte jetzt, dass mit den bereits im August veröffentlichten Updates auf die LibreOffice-Versionen 3.4.3 und 3.3.4 kritische Sicherheitslücken geschlossen wurden. Die Foundation begründet die um fünf Wochen verzögerte Bekanntgabe gegenüber heise Security damit, dass man Anwendern und Distributoren genug Zeit einräumen wolle, die gepatchten Versionen zu installieren, ehe die Details über die Lücken der breiten Masse zugänglich sind.
Allerdings war bislang gar nicht einmal klar, dass die Updates überhaupt sicherheitsrelevante Lücken schließen, da in den Changelogs keinerlei Hinweise hierauf enthalten waren. Viele Anwender dürften daher erst jetzt die Notwendigkeit sehen, die Office-Suite auf den neuesten Stand zu bringen. Dabei hat es vor allem ein kritischer Out-Of-Bounds-Fehler beim Verarbeiten von Word-Dokumenten (.doc) in sich: Öffnet der Anwender ein speziell präpariertes Word-Dokument, kann er seinen Rechner unbemerkt und ungewollt mit Schadcode infizieren. Um was für einen Fehler es sich dabei genau handelt, gab die Document Foundation nicht bekannt. Es kann sich etwa um einen Buffer Overflow handeln. Entdeckt hat die Lücke der Sicherheitsexperte Huzaifa Sidhpurwala von Red Hat.
Das Update auf LibreOffice 3.4.3 schließt zudem Lücken, die bei der Verarbeitung von Bilddateien in den Formaten Windows Metafile (.wmf) und Windows Enhanced Metafile (.emf) auftreten. Außerdem wurden weitere sicherheitsrelevante Lücken behoben, auf die die Foundation nicht genauer eingeht. Das Entwicklerteam rät Anwendern älterer und somit verwundbarer Versionen, umgehend auf die fehlerbereinigten Builds umzusteigen. Ob die Sicherheitslücken auch in OpenOffice vorhanden sind, ist derzeit unklar. Die aktuelle stabile Version von OpenOffice ist im Januar erschienen und dürfte noch so einige ungepatchte Lücken beinhalten.
Update: Auch OpenOffice kann durch speziell präparierte Word-Dateien mit Schadcode infiziert werden. Debian hat die Lücke bereits in seiner Linux-Distribution geschlossen; es ist zu erwarten, dass die Anbieter der anderen wichtigen Distributionen nachziehen. Wann der Fehler in der Windows-Build von OpenOffice behoben wird, ist derzeit unklar. Aus Sicherheitsgründen sollten Nutzer von OpenOffice unter Windows daher auf die aktuelle Version von LibreOffice umsteigen.
(rei)