Sicherheitslücke in OpenOffice geschlossen [Update]
Red Hat hat im Rahmen der Linux-Distribution Fedora neue Pakete für das Open-Source-Officepaket OpenOffice veröffentlicht, in denen eine kürzlich bekannt gewordene Sicherheitslücke geschlossen ist.
Der Linux-Distributor Red Hat hat im Rahmen der Community-Distribution Fedora neue Pakete für das Open-Source-Officepaket OpenOffice veröffentlicht, in denen eine kürzlich bekannt gewordene Sicherheitslücke geschlossen ist. Bestimmte .doc-Dateien verursachen einen Heap Overflow, mit dem ein Angreifer eigene Programme in ein System einbringen und im Kontext des Office-Anwenders starten kann. Für einen erfolgreichen Angriff muss ein Opfer aber ein manipuliertes Dokument öffnen.
Die Schwachstelle beruht auf einem Fehler in der Funktion StgCompObjStream::Load(), der beim Einlesen von präparierten Dokumenten-Headern auftritt. Betroffen sind die Unix- und Windows-Version 1.x bis einschließlich 1.1.4 sowie die Betaversion 2.0. Die Entwickler von OpenOffice haben die Lücken in beiden Versionen beseitigt und wollen eine überarbeitete Version von 1.1.4 und ein Library-Patch herausgeben. Die anderen Linux-Distributoren werden in Kürze ebenfalls ihre Pakete aktualisieren.
Update
Die OpenOffice-Entwickler haben einen Security Patch für verwundbare Versionen von 1.1.4 zum Download bereit gestellt. Im Wesentlichen handelt es sich um den Austausch der fehlerhaften Bibliothek. Im neuesten Release von 1.1.4 ist der Fehler nun ebenfalls behoben.
Siehe dazu auch: (dab)
- OpenOffice DOC document Heap Overflow Eintrag in OpenOffice-Fehlerdatenbank
