Nutzer, die mit LibreOffice oder OpenOffice arbeiten, sollten aus Sicherheitsgründen die aktuellen Updates einspielen. Angreifer könnten ansonsten Opfer mit manipulierten signierten Dokumenten austricksen.

Sicherheitsforscher der Ruhr Universität Bochum sind, laut einer Apache-Mailingliste, auf zwei Sicherheitslücken (CVE-2021-25635 LibreOffice, CVE-2021-41832 OpenOffice) gestoßen. Angreifer könnten an beiden Schwachstellen ansetzen, um mit dem Office-Paket erstellte Dokumente so aussehen zu lassen, als wären sie von einer vertrauenswürdigen Quelle signiert. Die Ursache für dieses Sicherheitsproblem ist laut den Sicherheitsforschern eine unzureichende Zertifikatsprüfung.

Opfer könnten aufgrund der vermeintlich vertrauenswürdigen Unterschrift Anweisungen im Dokument befolgen, durch die Schadcode auf Systemen gelangt. Normalerweise sollen signierte Dokumente garantieren, dass sie aus einer vertrauenswürdigen Quelle stammen und nach der Fertigstellung nicht von Dritten manipuliert wurden.

Gegen solche Attacken ist LibreOffice in den Versionen ab 7.0.5 und 7.1.1 und OpenOffice in der Ausgabe ab 4.1.11 abgesichert. Bedroht sollen alle vorherigen Versionen sein.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE