LibreOffice: Verklickt – und Malware ausgeführt
Eine Sicherheitslücke im quelloffenen LibreOffice ermöglicht Angreifern, Opfern Schadcode unterzujubeln. Die müssen nur einmal klicken.
Die Open-Source-Bürosoftware-Suite LibreOffice ist von einer Sicherheitslücke betroffen. Durch das Verleiten von Opfern zum Öffnen eines bösartig präparierten Dokuments und das Klicken darin können Angreifer ihnen offenbar Schadcode unterjubeln, der ausgeführt wird.
In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler, dass die Büro-Software das Verknüpfen von Skripten mit Klick-Ereignissen auf Grafiken unterstütze. "Für betroffene Versionen von LibreOffice gibt es Szenarien, in denen eingebettete Skripte ohne Warnung ausgeführt werden, wenn Nutzer auf ein Dokument mit solchen On-Click-Handlern klicken", beschreiben die Programmierer das Problem (CVE-2024-3044, CVSS 8.8, Risiko "hoch").
LibreOffice: Risikoeinstufung der Lücke
Während das LibreOffice-Projekt sich mit einer konkreten Einstufung des Bedrohungsgrads vornehm zurückhält, hat das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Lücke mit einem CVSS-Wert von 8.8 als nur knapp am Status "kritisch" vorbei als hochriskant eingeordnet.
In frühen Versionen von LibreOffice seien solche Skripte als vertrauenswürdig eingestuft gewesen, inzwischen betrachte man sie jedoch als unsicher. Die Fehlerkorrektur sieht so aus, dass die von Nutzern bewilligten Rechte zur Ausführung von Makros, die beim Laden eines Dokuments vergeben werden, nun auch für diese On-Click-Handler verwendet werden.
Als Lösung des Sicherheitsproblems empfiehlt das Projekt, auf die fehlerbereinigten LibreOffice-Versionen zu aktualisieren. LibreOffice 24.2.3 und 7.6.7 stehen auf der Download-Seite des Projekts zum Herunterladen bereit. Linux-Nutzer sollten ihre Softwareverwaltung starten und prüfen, ob die fehlerbereinigten Versionen bereits installiert wurden.
Vor rund einem Jahr hatte das Ghostscript-Paket eine Sicherheitslücke in diverse Software-Installationen gerissen. So auch in LibreOffice, das Ghostscript mitbringt. Die Lücke ließ sich auch damals durch das Öffnen manipulierter Dokumente missbrauchen.
(dmk)