Abo
  • Services:

Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Artikel veröffentlicht am , Hanno Böck
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen.
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen. (Bild: psubhashish / Wikimedia Commons/CC-BY-SA 3.0)

Eine gefährliche Sicherheitslücke bedroht Nutzer von Openoffice und älteren Versionen von Libreoffice. Mittels der Skript-Funktionalität der freien Office-Suiten gelang es Alex Inführ, einem Mitarbeiter der Sicherheitsfirma Cure53, Schadcode aus einer Opendocument-Textdatei auszuführen. Auf Openoffice wirft das kein gutes Bild: Obwohl die Entwickler vorab informiert wurden, steht kein Sicherheitsupdate bereit.

Stellenmarkt
  1. MVV Trading GmbH, Mannheim
  2. über duerenhoff GmbH, Raum Münster

Das von beiden Office-Suiten verwendete Dokumentformat besitzt eine Funktion, mit der man Skripte ausführen kann. Eigentlich sollten dabei nur Skripte ausführbar sein, die in einem bestimmten Verzeichnis mitgeliefert werden.

Directory Traversal: Mit ../../../../ Skripte ausführen

Doch dies ließ sich relativ trivial umgehen: Eine Directory-Traversal-Lücke erlaubte es, Skripte auch aus anderen Verzeichnissen auszuführen, man musste dafür lediglich einen Pfad der Form ../../../../../../[pfad] angeben. Zusätzlich gibt man in der Datei einen Funktionsnamen an. Das bedeutet also, dass ein Angreifer ein beliebiges Python-Skript ausführen kann, wenn er dessen Ort auf der Festplatte des Opfers kennt.

Bei Libreoffice ist es möglich, diesem Skript auch Parameter zu übergeben. Libreoffice liefert seine eigene Implementierung von Python mit und diese haben einen relativen Pfad zum Skriptverzeichnis, damit kann man die dortigen Skripte ansteuern. Alex Inführ fand dort eine Funktion in der Datei pydoc.py, über die sich trivial Code ausführen lässt.

Unter Openoffice funktioniert dieser zweite Teil des Angriffs nicht, da die Parameter für Funktionen dort nicht unterstützt sind. Doch andere Varianten sind denkbar. So könnte etwa ein Angreifer das Opfer zunächst zum Download einer Python-Datei bewegen und diese anschließend im Download-Verzeichnis ausführen. Dafür muss der Angreifer den Namen des Benutzerverzeichnisses oder Homeverzeichnisses kennen, was aber in vielen Fällen leicht erratbar sein dürfte.

Der Entdecker hat den Angriff nach eigenen Angaben unter Linux und Windows getestet, da keine betriebssystemspezifischen Funktionen verwendet werden. Er dürfte aber auch alle anderen von Libreoffice unterstützten Betriebssysteme betreffen.

Aktuelle Versionen von Libreoffice nicht mehr verwundbar

Libreoffice hat für die Directory-Traversal-Lücke ein Update veröffentlicht. Die Versionen 6.0.7 und 6.1.3 sind nicht mehr verwundbar. Anwender sollten schnellstmöglich aktualisieren oder die entsprechenden Updates von Linux-Distributionen installieren. Die Version 6.1.3 wurde bereits im November veröffentlicht, jedoch war die Sicherheitslücke bisher nicht öffentlich bekannt. Viele Anwender dürften daher das Update bereits installiert haben.

Von Openoffice gibt es bislang kein Update. Alex Inführ beschreibt in seinem Blogpost einen Workaround: Nutzer können die Datei pythonscript.py, die für das Ausführen der Skriptfunktionalität zuständig ist, entfernen oder umbenennen.

Openoffice und Libreoffice stammen beide von derselben Codebasis ab. Früher wurde Openoffice von der Firma Sun entwickelt. Nach der Übernahme von Sun durch Oracle kam es zu einem Fork mit dem Namen Libreoffice. Das originale Openoffice landete letztendlich bei der Apache Foundation, wird aber schon seit längerem nicht sehr aktiv weiterentwickelt.

Diskussionen über ungefixte Sicherheitslücken in Openoffice gibt es nicht zum ersten Mal. 2016 veröffentlichte Apache Informationen über eine Memory-Corruption-Lücke, ohne dass ein Update bereitstand. Die Entwickler empfahlen damals stattdessen, dass Antivirenprogramme eine Signatur nutzen könnten, um Angriffe zu erkennen.

In der Folge gab es damals bei Apache Diskussionen, ob man die Entwicklung von Openoffice einstellen sollte. Dazu ist es allerdings bisher nicht gekommen und die Webseite erweckt weiterhin den Eindruck, als handle es sich um ein aktiv betreutes Projekt.

Angesichts einer ungefixten, schweren Sicherheitslücke kann man allen verbleibenden Openoffice-Anwendern nur empfehlen, auf Libreoffice umzusteigen. Zwar gibt es auch dort Sicherheitslücken, aber sie werden immerhin zeitnah geschlossen.



Anzeige
Top-Angebote
  1. (u. a. 256 GB 52,99€, 512 GB 69,00€)
  2. 149,00€
  3. 40,99€
  4. (u. a. Fernseher ab 127,90€)

M.P. 05. Feb 2019 / Themenstart

Bei Serienbriefen habe ich mir regelmäßig einen abgebrochen. Liegt aber wohl daran, dass...

hannob (golem.de) 05. Feb 2019 / Themenstart

Ich hab den Exploit ausprobiert und bei mir tat es. Ich hab einfach das Beispiel in eine...

ibsi 05. Feb 2019 / Themenstart

Entweder Du lädst Dir die Toolbox von IntelliJ: https://www.jetbrains.com/toolbox/app...

Kommentieren


Folgen Sie uns
       


Resident Evil 2 Remake - Fazit

Bei Capcom haben sie derzeit in Sachen Horror ein monstermäßig gutes Händchen.

Resident Evil 2 Remake - Fazit Video aufrufen
Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

    •  /