Gefährliche Sicherheitslücken in Office-Anwendung TextMaker

Das Textverarbeitungsprogramm TextMaker vom deutschen Software-Hersteller SoftMaker ist verwundbar. Sicherheitsforscher von Cisco Talos sind auf drei Sicherheitslücken gestoßen. Abgesicherte Versionen sind verfügbar.

Die Sicherheitsforscher haben ihre Erkenntnisse in einem Bericht zusammengetragen. Eigenen Angaben zufolge betreffen die Sicherheitsprobleme die Version TextMaker 2021 Revision 1014. Es bleibt aber unklar, welche Betriebssysteme davon betroffen sind. Das Textverarbeitungsprogramm gibt es für Linux, macOS und Windows.

Einem Sprecher des Unternehmens zufolge sind die Versionen SoftMaker Office 2021 Revision 1024, SoftMaker Office 2018 und FreeOffice 2018 Revision 980 abgesichert.

Remote Code Execution?

Um die drei Sicherheitslücken (CVE-2020-13544, CVE-2020-13545, CVE-2020-13546) erfolgreich auszunutzen, müssen Angreifer Opfern ein präpariertes Dokument unterschieben, was diese öffnen. Anschließend kommt es zu Speicherfehlern.

Können Angreifer so einen Zustand provozieren, stürzen Anwendungen in der Regel ab (DoS). Oft ist in so einem Fall sogar die Ausführung von Schadcode vorstellbar. Das erwähnen die Sicherheitsforscher nicht explizit. Da der Bedrohungsgrad mit "hoch" eingestuft ist, liegt das aber nahe.

• SoftMaker Office TextMaker Document Record 0x001f sign-extension vulnerability
• SoftMaker Office TextMaker Document Record 0x003f integer conversion vulnerability
• SoftMaker Office TextMaker Document Record 0x002a integer overflow vulnerability

(des)