LibreOffice bessert bei der Makro-Sicherheit nach

Die LibreOffice-Entwickler schließen mit aktualisierter Software eine Sicherheitslücke, durch die signierte Makros trotz fehlgeschlagener Prüfung ausgeführt werden konnten. In den Standardeinstellungen ist das nun nicht mehr möglich.

Die Programmierer von LibreOffice in einer Sicherheitsmitteilung erläutern, dass Dokumente von Dokumentenerstellern signierte Makros enthalten können. Sofern ein solches Makro enthalten ist, warnt LibreOffice vor dessen Ausführung. Wenn die Signaturprüfung fehlschlägt, zeigt LibreOffice in der Warnung diesen Fehler an und ermöglicht Nutzerinnen und Nutzern, das Makro dennoch auszuführen und die Warnung zu ignorieren. Das sei leicht zu missverstehen gewesen (CVE-2024-6472, CVSS 7.8, Risiko "hoch").

LibreOffice: Sicherere Makro-Behandlung

In der standardmäßig aktiven Einstellung "hohe Makro-Sicherheit" deaktiviert LibreOffice nun automatisch Makros, bei denen die Zertifikatsprüfung fehlschlägt. So können Nutzer nicht aus Versehen Makros ausführen, deren Signaturen ungültig sind.

Die Lücke hat die OpenSource Security GmbH im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an das Projekt gemeldet. LibreOffice 24.2.5 schließt die Sicherheitslücke und arbeitet nach dem neuen beschriebenen Verfahren. Die steht etwa auf der Download-Seite von LibreOffice für verschiedene Plattformen zum Herunterladen bereit: Als 64-bittiges Debian- und RPM-Paket für Linux auf x86-Prozessorarchitekturen, für macOS (Apple Silicon und Intel) sowie 32- und 64-bittiges Windows.

Lesen Sie auch

LibreOffice: Verklickt – und Malware ausgeführt

Zuletzt hatten die Programmierer im Mai eine Sicherheitslücke in LibreOffice geschlossen. Sie galt als hochriskant und konnte dazu führen, dass präparierte Dokumente nach nur einem Klick von Nutzern Schadcode einschleusten und ausführten.

(dmk)