Vor einer Sicherheitslücke in der Dokumenten-Reparaturfunktion von LibreOffice warnen die Entwickler. Nach einer Reparatur könnten präparierte Dokumente einen nicht dazu passenden Signatur-Status aufweisen und irregulär die Ausführung von Makros ermöglichen.

Die Office-Suite versucht laut der veröffentlichten Schwachstellenbeschreibung von LibreOffice, defekte und auf dem zip-Format basierende Dateiformate zu reparieren. Die Reparaturfunktion sucht dafür nach sekundären Datei-Headern in der zip-Struktur, um ein Dokument wiederherzustellen. Angreifer können präparierte Dokumente mit einer digitalen Signatur erstellen. Die Signatur wird nach der Reparatur mit einem Status gemeldet, der nicht zum wiederhergestellten Dokument passe. Dadurch handelt es sich um eine Signaturfälschung (CVE-2024-7788, CVSS 7.8, Risiko "hoch").

LibreOffice vor den Versionen 24.2.5 oder 24.8.0 ist von dieser Schwachstelle betroffen. Auf der LibreOffice-Download-Seite sind die aktuellen Versionen 24.2.6 und 24.8.1 verfügbar. Damit wird der Fehler korrigiert, indem sie alle Signaturen als implizit invalide in reparierten Dokumenten bewerten.

Die OpenSource Security GmbH hatte im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Sicherheitslücke an das Projekt gemeldet.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE