LibreOffice: Reparaturmodus ermöglicht Signaturfälschung
LibreOffice versucht, beschädigte Dateien im zip-Format zu reparieren. Digitale Signaturen wurden danach falsch validiert.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Entwickler von LibreOffice warnen vor einer Sicherheitslücke in der Dokumenten-Reparaturfunktion der Büro-Software-Suite. Präparierte Dokumente könnten nach solch einer Reparatur einen nicht dazu passenden Signatur-Status aufweisen und irregulär die Ausführung von Makros ermöglichen.
Laut der nun veröffentlichten Schwachstellenbeschreibung von LibreOffice versucht die Office-Suite, defekte, auf dem zip-Format basierende Dateiformate zu reparieren. Dazu sucht die Reparaturfunktion nach sekundären Datei-Headern in der zip-Struktur, um ein Dokument wiederherzustellen. Angreifer können präparierte Dokumente erstellen, die eine digitale Signatur enthalten. Nach der Reparatur wird die Signatur mit einem Status gemeldet, der nicht zum wiederhergestellten Dokument passe – es handelt sich dadurch um eine Signaturfälschung (CVE-2024-7788, CVSS 7.8, Risiko "hoch").
Fehler ermöglicht Makro-Ausführung
Dadurch werden etwa Makros in Dokumenten ausgeführt. Das war früher ein häufiges missbrauchtes Einfallstor für Malware, bis das Ausführen aktiver Elemente in Office-Dokumenten rigoros eingedämmt wurde. Schlägt die Signaturprüfung bei der defekten Datei fehl, erfolgt immerhin eine Fehlermeldung – bei der die Nutzer auswählen können, den Fehler zu ignorieren und die Makros dennoch auszuführen. Das Verhalten wurde kürzlich ebenfalls korrigiert.
Die Schwachstelle betrifft LibreOffice vor den Versionen 24.2.5 oder 24.8.0. Diese sind schon einige Wochen verfügbar, aktuell sind die Versionen 24.2.6 sowie 24.8.1 auf der LibreOffice-Download-Seite verfügbar. Sie korrigieren den Fehler, indem sie alle Signaturen als implizit invalide in reparierten Dokumenten bewerten.
Lesen Sie auch
LibreOffice bessert bei der Makro-Sicherheit nach
Dass Makros trotz fehlgeschlagener Signaturprüfung nach Nutzerbestätigung ausgeführt werden konnten, war Anfang August Gegenstand eines Sicherheitsupdates für die quelloffene Office-Suite. Die Lücke hatte die OpenSource Security GmbH im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an das Projekt gemeldet.
(dmk)