heise PlusAbo
Anzeige
Alert!

LibreOffice: Funktion zur Sharepoint-Integration ermöglicht Makro-Ausführung

LibreOffice warnt vor einer Sicherheitslücke in der Bürosoftware. Angreifer können dadurch Makros ausführen lassen.

vorlesen Druckansicht 33 Kommentare lesen
Nutzer vor einem Laptop mit LibreOffice, das von Viren attackiert wird

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In LibreOffice hat das Projekt eine Sicherheitslücke entdeckt. Angreifer können dadurch Makros ausführen lassen. Aktualisierte Software bessert die Schwachstellen aus.

In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler vor dem Sicherheitsleck. LibreOffice unterstützt Office-URI-Schemes, um die Browser-Integration von LibreOffice mit Sharepoint-Servern zu ermöglichen. Dabei haben die Entwickler noch zusätzlich das URI-Scheme "vnd.libreoffice.command" ergänzt.

Verankerung von URI-Schemes für SharePoint-Server problematisch

Ein sorgsam präparierter Link im Browser kann mit diesem URI-Scheme eine innere URL einbetten, die Makros mit beliebigen Argumenten ausführt, sofern sie von LibreOffice verarbeitet wird. Diese Umgehung von Sicherheitsmechanismen, die etwa die Makro-Ausführung verhindern sollen, korrigieren die Entwickler mit neuen Software-Versionen (CVE-2025-1080, CVSS 7.2, Risiko "hoch").

Videos by heise

Die Lücke betrifft LibreOffice 24.8 und 25.2. Die aktuell verfügbaren Fassungen 24.8.5 sowie 25.2.1 korrigieren die sicherheitsrelevanten Fehler. Sie stehen auf der LibreOffice-Download-Webseite zum Herunterladen bereit. Die fehlerkorrigierten Versionen stehen bereits einige Wochen zur Verfügung: LibreOffice 24.8.5.1 erschien am 29. Januar, aktuell ist 24.8.5.2 vom 14. Februar. Die Fassung 25.2.1.1 wurde am 9. Februar veröffentlicht, aktuell ist hier 25.2.1.2 vom 24. Februar.

IT-Verantwortliche und LibreOffice-Nutzerinnen und -Nutzer sollten sicherstellen, die aktuelle Version installiert zu haben, um die Angriffsfläche für Cyberkriminelle zu minimieren.

Lesen Sie auch

Bereits in der vergangenen Woche hatte das LibreOffice-Projekt vor einer Sicherheitslücke gewarnt. Angreifer konnten die durch manipulierte Links in Dokumenten missbrauchen. Es war möglich, dadurch ausführbare Dateien in Windows aufzurufen und so möglicherweise Schaden anzurichten. Die Version 24.8.5 hat die Lücke geschlossen.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten