Kritische Sicherheitslücke in OpenOffice und LibreOffice

Wie jetzt bekannt wurde, schließen die kürzlich veröffentlichten Updates für die beiden Office-Pakete unter anderem eine kritische Lücke, durch die man sein System mit Schadcode infizieren kann.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Wer LibreOffice oder OpenOffice nutzt und noch nicht die kürzlich veröffentlichen Updates eingespielt hat, sollte das umgehend nachholen: Denn wie jetzt bekannt gegeben wurde, schließen die Updates eine kritische Lücke in der Bibliothek vclmi.dll, die beide Office-Pakete nutzen.

Öffnet man eine Office-Datei, die ein speziell präpariertes Bild enthält, kann man sein System mit Schadcode infizieren. Bei der Lücke handelte es sich um einen Integer Overflow, der bei der Zuweisung des Speichers für das eingebettete Bild auftritt, was im Weiteren zu einem Heap Overflow führen kann. Zudem wurde ein Fehler bei der Verarbeitung von PowerPoint-Dateien behoben, der dazu führen kann, dass das Programme nicht mehr benutzbar ist (Denial of Service). Für Abhilfe sorgen die Updates auf LibreOffice 3.5.3 und OpenOffice 3.4.

In OpenOffice wurde darüber hinaus eine kritische Lücke bei der Verarbeitung von Wordperfect-Dokumenten (.WPD), durch die ein Angreifer Bereiche im Speicher überschreiben und dadurch beliebigen Code mit den Rechten des angemeldeten Nutzers ausführen kann. Gelöst wurde das Problem laut den Angaben der Entwickler, indem OpenOffice Dateien dieses Typs schlicht nicht mehr öffnet.

Was sich darüber hinaus bei den beiden kostenlosen Office-Paketen getan hat, erfahren Sie in den beiden Tickermeldungen zur Veröffentlichung von LibreOffice 3.5.3 und OpenOffice 3.4.

Siehe dazu auch: