Mozillas NSS-Kryptografie-Bibliothek, die unter anderem die Transport Layer Security (TLS) umsetzt, wird von der quelloffenen Bürosoftware-Suite LibreOffice genutzt. Angreifer könnten über eine kürzlich entdeckte kritische Sicherheitslücke darin eingeschleusten Schadcode ausführen. Das könnten auch in LibreOffice geschehen. Das Projekt schließt mit aktualisierten Installationspaketen die Sicherheitslücken.

Die LibreOffice-Entwickler planten eigentlich, die nächsten Software-Versionen im Januar freizugeben. Allerdings haben sie aufgrund der Gefahr durch die Schwachstelle das Sicherheitsupdate vorgezogen. Zum Download stehen die fehlerbereinigten Versionen LibreOffice 7.2.4 sowie 7.1.8 bereit.

Die Schwachstelle, die vom Entdecker Tavis Ormandy "BigSig" getauft wurde, tat sich auf, da die NSS-Bibliothek beim Kopieren bestimmter Zertifikate nicht prüfte, ob der Zielpuffer groß genug war.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE