Die Entwickler von LibreOffice haben eine Sicherheitslücke geschlossen, durch die signierte Makros trotz fehlgeschlagener Prüfung ausgeführt werden konnten. Jetzt soll dies in den Standardeinstellungen nicht mehr möglich sein.

In einer Sicherheitsmitteilung erläutern die Programmierer von LibreOffice, dass Dokumente von Dokumentenerstellern signierte Makros enthalten können. LibreOffice warnt vor dessen Ausführung, falls ein solches Makro enthalten ist. Im Fall, dass die Signaturprüfung fehlschlägt, zeigt LibreOffice in der Warnung diesen Fehler an und ermöglicht Nutzern, das Makro dennoch auszuführen und die Warnung zu ignorieren (CVE-2024-6472, CVSS 7.8, Risiko "hoch").

Jetzt deaktiviert LibreOffice in der standardmäßig aktiven Einstellung "hohe Makro-Sicherheit" automatisch Makros, bei denen die Zertifikatsprüfung fehlschlägt.

Die OpenSource Security GmbH hat im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) diese Lücke an das Projekt gemeldet. Mit der aktuellen Version LibreOffice 24.2.5 wird die Sicherheitslücke geschlossen und arbeitet nach dem neuen beschriebenen Verfahren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE