Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Artikel veröffentlicht am , Hanno Böck
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen.
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen. (Bild: psubhashish / Wikimedia Commons/CC-BY-SA 3.0)

Eine gefährliche Sicherheitslücke bedroht Nutzer von Openoffice und älteren Versionen von Libreoffice. Mittels der Skript-Funktionalität der freien Office-Suiten gelang es Alex Inführ, einem Mitarbeiter der Sicherheitsfirma Cure53, Schadcode aus einer Opendocument-Textdatei auszuführen. Auf Openoffice wirft das kein gutes Bild: Obwohl die Entwickler vorab informiert wurden, steht kein Sicherheitsupdate bereit.

Stellenmarkt
  1. Entwicklungsingenieur Software (m/w/d)
    Jumo GmbH & Co. KG, Fulda
  2. Account Manager IT-Consulting (m/w/d)
    TMK Thomas Mack Kommunikation, deutschlandweit (Home-Office)
Detailsuche

Das von beiden Office-Suiten verwendete Dokumentformat besitzt eine Funktion, mit der man Skripte ausführen kann. Eigentlich sollten dabei nur Skripte ausführbar sein, die in einem bestimmten Verzeichnis mitgeliefert werden.

Directory Traversal: Mit ../../../../ Skripte ausführen

Doch dies ließ sich relativ trivial umgehen: Eine Directory-Traversal-Lücke erlaubte es, Skripte auch aus anderen Verzeichnissen auszuführen, man musste dafür lediglich einen Pfad der Form ../../../../../../[pfad] angeben. Zusätzlich gibt man in der Datei einen Funktionsnamen an. Das bedeutet also, dass ein Angreifer ein beliebiges Python-Skript ausführen kann, wenn er dessen Ort auf der Festplatte des Opfers kennt.

Bei Libreoffice ist es möglich, diesem Skript auch Parameter zu übergeben. Libreoffice liefert seine eigene Implementierung von Python mit und diese haben einen relativen Pfad zum Skriptverzeichnis, damit kann man die dortigen Skripte ansteuern. Alex Inführ fand dort eine Funktion in der Datei pydoc.py, über die sich trivial Code ausführen lässt.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    09.-11.01.2023, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Unter Openoffice funktioniert dieser zweite Teil des Angriffs nicht, da die Parameter für Funktionen dort nicht unterstützt sind. Doch andere Varianten sind denkbar. So könnte etwa ein Angreifer das Opfer zunächst zum Download einer Python-Datei bewegen und diese anschließend im Download-Verzeichnis ausführen. Dafür muss der Angreifer den Namen des Benutzerverzeichnisses oder Homeverzeichnisses kennen, was aber in vielen Fällen leicht erratbar sein dürfte.

Der Entdecker hat den Angriff nach eigenen Angaben unter Linux und Windows getestet, da keine betriebssystemspezifischen Funktionen verwendet werden. Er dürfte aber auch alle anderen von Libreoffice unterstützten Betriebssysteme betreffen.

Aktuelle Versionen von Libreoffice nicht mehr verwundbar

Libreoffice hat für die Directory-Traversal-Lücke ein Update veröffentlicht. Die Versionen 6.0.7 und 6.1.3 sind nicht mehr verwundbar. Anwender sollten schnellstmöglich aktualisieren oder die entsprechenden Updates von Linux-Distributionen installieren. Die Version 6.1.3 wurde bereits im November veröffentlicht, jedoch war die Sicherheitslücke bisher nicht öffentlich bekannt. Viele Anwender dürften daher das Update bereits installiert haben.

Von Openoffice gibt es bislang kein Update. Alex Inführ beschreibt in seinem Blogpost einen Workaround: Nutzer können die Datei pythonscript.py, die für das Ausführen der Skriptfunktionalität zuständig ist, entfernen oder umbenennen.

Openoffice und Libreoffice stammen beide von derselben Codebasis ab. Früher wurde Openoffice von der Firma Sun entwickelt. Nach der Übernahme von Sun durch Oracle kam es zu einem Fork mit dem Namen Libreoffice. Das originale Openoffice landete letztendlich bei der Apache Foundation, wird aber schon seit längerem nicht sehr aktiv weiterentwickelt.

Diskussionen über ungefixte Sicherheitslücken in Openoffice gibt es nicht zum ersten Mal. 2016 veröffentlichte Apache Informationen über eine Memory-Corruption-Lücke, ohne dass ein Update bereitstand. Die Entwickler empfahlen damals stattdessen, dass Antivirenprogramme eine Signatur nutzen könnten, um Angriffe zu erkennen.

In der Folge gab es damals bei Apache Diskussionen, ob man die Entwicklung von Openoffice einstellen sollte. Dazu ist es allerdings bisher nicht gekommen und die Webseite erweckt weiterhin den Eindruck, als handle es sich um ein aktiv betreutes Projekt.

Angesichts einer ungefixten, schweren Sicherheitslücke kann man allen verbleibenden Openoffice-Anwendern nur empfehlen, auf Libreoffice umzusteigen. Zwar gibt es auch dort Sicherheitslücken, aber sie werden immerhin zeitnah geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 05. Feb 2019

Bei Serienbriefen habe ich mir regelmäßig einen abgebrochen. Liegt aber wohl daran, dass...

hab (Golem.de) 05. Feb 2019

Ich hab den Exploit ausprobiert und bei mir tat es. Ich hab einfach das Beispiel in eine...

ibsi 05. Feb 2019

Entweder Du lädst Dir die Toolbox von IntelliJ: https://www.jetbrains.com/toolbox/app...



Aktuell auf der Startseite von Golem.de
Apollon-Plattform
DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte

Das Upgrade zum Ausfiltern von Netzwerkrauschen erfolgte innerhalb nächtlicher Wartungsfenster bei laufendem Betrieb.

Apollon-Plattform: DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte
Artikel
  1. Kia Flex: Kia startet Neuwagen-Abo
    Kia Flex
    Kia startet Neuwagen-Abo

    Unter dem Namen Kia Flex hat Kia ein neues Vertriebskonzept vorgestellt. Kunden kaufen die Autos nicht, sondern abonnieren sie.

  2. Autonomes Fahren: VW-Chef Blume streicht offenbar Audi-Projekt Artemis
    Autonomes Fahren
    VW-Chef Blume streicht offenbar Audi-Projekt Artemis

    Nicht nur das VW-Projekt Trinity, auch das geplante Audi-Vorzeigemodell Artemis fällt den Softwareproblemen des VW-Konzerns zum Opfer.

  3. Kids für Alexa im Test: Alexa, wer hat den Kindermodus verbockt?
    Kids für Alexa im Test
    Alexa, wer hat den Kindermodus verbockt?

    Amazon bietet neuerdings einen speziellen Kindermodus für Alexa an. Das soll Eltern in Sicherheit wiegen, die sollten sich aber besser nicht darauf verlassen.
    Ein Test von Ingo Pakalski

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Last Minute Angebote: Games & Zubehör, AVM-Router • Saturn-Weihnachts-Hits: Rabatt-Angebote aus allen Kategorien • Laptops bis zu 41% günstiger bei Saturn • PS5 Disc Edition inkl. GoW Ragnarök wieder vorbestellbar bei Amazon 619€ • ViewSonic 32" WQHD/144 Hz 229,90€ [Werbung]
    •  /