Freie Büro-Software
05.02.2019, 10:01 Uhr
Kritische Lücke in LibreOffice und OpenOffice
Eine kritische Lücke in den freien Büro-Lösungen LibreOffice und OpenOffice erlaubt Angreifern das Ausführen von Schadcode. Nutzern von LibreOffice steht bereits ein Update zur Verfügung, das den Fehler behebt.
Office-Lösungen gehören für Angreifer zu den probatesten Mitteln, um unbemerkt Schadcode auf Systeme zu schleusen. So haben sich in der Vergangenheit etwa oftmals Verschlüsselungstrojaner und andere Schädlinge über Office-Makros verbreitet. Aktuell sind speziell Nutzer der freien Büro-Lösungen LibreOffice und OpenOffice gefährdet, da eine kritische Lücke in den Tools das Ausführen von Schadcode erlaubt.
Der Sicherheitsspezialist Alex Inführ ist auf den Fehler gestossen und beschreibt auf seinem Blog detailliert, was es mit der Schwachstelle auf sich hat. Laut Inführ sind sowohl Windows- als auch Linux-Nutzer von dem Bug betroffen. Bereits das Öffnen einer manipulierten ODT-Datei soll ausreichen, um Angreifern den Zugang zum System zu ebnen. Hierbei wird ein zuvor im Dokument integriertes Skript per Mouse Over aktiviert. Sobald der Mauszeiger über den in der ODT-Datei präparierten Link fährt, wird eine vom Angreifer vordefinierte Python-Datei durch das Skript lokal ausgeführt. Der Nutzer erfährt von dem Vorgang nichts, da die Office-Tools keine Benachrichtigung ausspielen.
Inführ hatte den Fehler bereits Mitte Oktober vergangenen Jahres an die Entwickler der beiden Projekte weitergeben. In LibreOffice wurde die Schwachstelle dann Ende Oktober behoben, die aktuellen Versionen 6.1.4 und 6.0.7 sind daher schon abgesichert.
Bei OpenOffice hat man hingegen noch nicht auf den Fehler reagiert, die derzeitige Version 4.1.6 ist demnach über die Sicherheitslücke verwundbar. Seit sich das LibreOffice-Projekt von OpenOffice abgespalten hatte, verlangsamt sich die Entwicklung der Lösung zusehends. Schon im Jahr 2016 zog der Chef-Entwickler Dennis Hamilton ein mögliches Ende der alternativen Bürosuite in Betracht. Bis dato ist die Software aber immer noch verfügbar - auch ohne Sicherheitsupdates.