Alert!

LibreOffice-Lücken: Risiko von Codeschmuggel mit präparierten Dokumenten

Neue LibreOffice-Versionen stopfen teils hochriskante Sicherheitslücken. Mit manipulierten Spreadsheets könnten Angreifer Schadcode einschleusen.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
LibreOffice 7.5.3.2 auf Notebook auf Tisch

(Bild: Foto / Screenshot dmk)

Lesezeit: 2 Min.
Von

Aktualisierte Pakete der Büro-Software-Suite LibreOffice dichten zum Teil hochriskante Sicherheitslücken ab. Angreifer könnten potenziellen Opfern manipulierte Dokumente zukommen lassen, bei denen beim Öffnen das Risiko besteht, dass dadurch Schadcode eingeschleust und ausgeführt wird.

Beim Verarbeiten von Formeln in Calc kann ein Array-Index-Unterlauf auftreten. Diverse Formeln können mehrere Parameter umfassen. Der Formel-Parser ScInterpreter überprüft die Anzahl übergebener Parameter nicht korrekt, sondern bezieht die Mindestanzahl an benötigten Parametern für eine Formel von einem Stack. Wurden in der Formel jedoch weniger Parameter angegeben, tritt ein Unterlauf auf, bei dem "ein Risiko besteht, dass beliebiger Code ausgeführt werden könnte", erläutern die LibreOffice-Entwickler in ihrer Sicherheitsnotiz (CVE-2023-0950, CVSS laut SUSE 7.3, Risiko "hoch").

Eine weitere Schwachstelle betrifft das Verhalten beim Laden von Dokumenten mit enthaltenen IFrames. Anders als bei anderen verknüpften Objekten in Dokumenten hat LibreOffice die IFrames ohne weitere Rückfrage beim Öffnen aktualisiert. Aktuelle LibreOffice-Fassungen ergänzen jetzt auch bei IFrames eine vorherige Rückfrage bei Benutzern (CVE-2023-2255, noch kein CVSS-Wert).

Die Schwachstellen hat das Projekt in den aktuellen Versionen 7.5.3 sowie 7.4.7 und neuer ausgebessert. Sie stehen etwa auf der Download-Seite des LibreOffice-Projekts zum Herunterladen bereit. Unter Linux zeichnet für gewöhnlich die Distributions-eigene Software-Verwaltung für Updates verantwortlich, sodass Linux-Nutzer diese einmal aufrufen und nach Updates suchen und diese bei Verfügbarkeit anwenden lassen sollten. Zwar stehen die Pakete bereits einige Zeit bereit, aber LibreOffice-Nutzer sollten sicherheitshalber prüfen, ob sie tatsächlich schon die aktuelle Version einsetzen.

Im Februar hatte das LibreOffice-Projekt die 7.5er-Version der Bürosoftware vorgestellt. Sie brachte eine neue Symbolleiste, Icons und Übersetzungen mit DeepL per API mit.

(dmk)