Original-URL des Artikels: https://www.golem.de/news/sicherheit-libreoffice-schliesst-luecke-openoffice-bleibt-verwundbar-1902-139163.html    Veröffentlicht: 04.02.2019 14:35    Kurz-URL: https://glm.io/139163

Sicherheit

Libreoffice schließt Lücke, Openoffice bleibt verwundbar

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Eine gefährliche Sicherheitslücke bedroht Nutzer von Openoffice und älteren Versionen von Libreoffice. Mittels der Skript-Funktionalität der freien Office-Suiten gelang es Alex Inführ, einem Mitarbeiter der Sicherheitsfirma Cure53, Schadcode aus einer Opendocument-Textdatei auszuführen. Auf Openoffice wirft das kein gutes Bild: Obwohl die Entwickler vorab informiert wurden, steht kein Sicherheitsupdate bereit.

Das von beiden Office-Suiten verwendete Dokumentformat besitzt eine Funktion, mit der man Skripte ausführen kann. Eigentlich sollten dabei nur Skripte ausführbar sein, die in einem bestimmten Verzeichnis mitgeliefert werden.

Directory Traversal: Mit ../../../../ Skripte ausführen

Doch dies ließ sich relativ trivial umgehen: Eine Directory-Traversal-Lücke erlaubte es, Skripte auch aus anderen Verzeichnissen auszuführen, man musste dafür lediglich einen Pfad der Form ../../../../../../[pfad] angeben. Zusätzlich gibt man in der Datei einen Funktionsnamen an. Das bedeutet also, dass ein Angreifer ein beliebiges Python-Skript ausführen kann, wenn er dessen Ort auf der Festplatte des Opfers kennt.

Bei Libreoffice ist es möglich, diesem Skript auch Parameter zu übergeben. Libreoffice liefert seine eigene Implementierung von Python mit und diese haben einen relativen Pfad zum Skriptverzeichnis, damit kann man die dortigen Skripte ansteuern. Alex Inführ fand dort eine Funktion in der Datei pydoc.py, über die sich trivial Code ausführen lässt.

Unter Openoffice funktioniert dieser zweite Teil des Angriffs nicht, da die Parameter für Funktionen dort nicht unterstützt sind. Doch andere Varianten sind denkbar. So könnte etwa ein Angreifer das Opfer zunächst zum Download einer Python-Datei bewegen und diese anschließend im Download-Verzeichnis ausführen. Dafür muss der Angreifer den Namen des Benutzerverzeichnisses oder Homeverzeichnisses kennen, was aber in vielen Fällen leicht erratbar sein dürfte.

Der Entdecker hat den Angriff nach eigenen Angaben unter Linux und Windows getestet, da keine betriebssystemspezifischen Funktionen verwendet werden. Er dürfte aber auch alle anderen von Libreoffice unterstützten Betriebssysteme betreffen.

Aktuelle Versionen von Libreoffice nicht mehr verwundbar

Libreoffice hat für die Directory-Traversal-Lücke ein Update veröffentlicht. Die Versionen 6.0.7 und 6.1.3 sind nicht mehr verwundbar. Anwender sollten schnellstmöglich aktualisieren oder die entsprechenden Updates von Linux-Distributionen installieren. Die Version 6.1.3 wurde bereits im November veröffentlicht, jedoch war die Sicherheitslücke bisher nicht öffentlich bekannt. Viele Anwender dürften daher das Update bereits installiert haben.

Von Openoffice gibt es bislang kein Update. Alex Inführ beschreibt in seinem Blogpost einen Workaround: Nutzer können die Datei pythonscript.py, die für das Ausführen der Skriptfunktionalität zuständig ist, entfernen oder umbenennen.

Openoffice und Libreoffice stammen beide von derselben Codebasis ab. Früher wurde Openoffice von der Firma Sun entwickelt. Nach der Übernahme von Sun durch Oracle kam es zu einem Fork mit dem Namen Libreoffice. Das originale Openoffice landete letztendlich bei der Apache Foundation, wird aber schon seit längerem nicht sehr aktiv weiterentwickelt.

Diskussionen über ungefixte Sicherheitslücken in Openoffice gibt es nicht zum ersten Mal. 2016 veröffentlichte Apache Informationen über eine Memory-Corruption-Lücke, ohne dass ein Update bereitstand. Die Entwickler empfahlen damals stattdessen, dass Antivirenprogramme eine Signatur nutzen könnten, um Angriffe zu erkennen.

In der Folge gab es damals bei Apache Diskussionen, ob man die Entwicklung von Openoffice einstellen sollte. Dazu ist es allerdings bisher nicht gekommen und die Webseite erweckt weiterhin den Eindruck, als handle es sich um ein aktiv betreutes Projekt.

Angesichts einer ungefixten, schweren Sicherheitslücke kann man allen verbleibenden Openoffice-Anwendern nur empfehlen, auf Libreoffice umzusteigen. Zwar gibt es auch dort Sicherheitslücken, aber sie werden immerhin zeitnah geschlossen.  (hab)


Verwandte Artikel:
Officesuite: Libreoffice 6.1 bringt neue Icons und neue Datenbank   
(09.08.2018, https://glm.io/135915 )
Ehemalige Sun-Projekte: Open Source à la Oracle   
(02.01.2017, https://glm.io/125015 )
Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten   
(30.01.2019, https://glm.io/139082 )
Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen   
(15.03.2018, https://glm.io/133344 )
Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail   
(20.12.2017, https://glm.io/131778 )

© 1997–2020 Golem.de, https://www.golem.de/