Kritische Sicherheitslücke in OpenOffice und LibreOffice

[Christoph]

Zitat:

Wer LibreOffice oder OpenOffice nutzt und noch nicht die kürzlich veröffentlichen Updates eingespielt hat, sollte das umgehend nachholen: Denn wie jetzt bekanntgegeben wurde, schließen die Updates eine kritische Lücke in der Bibliothek vclmi.dll, die beide Office-Pakete nutzen.

Öffnet man eine Office-Datei, die ein speziell präpariertes Bild enthält, kann man sein System mit Schadcode infizieren. Bei der Lücke handelte es sich um einen Integer Overflow, der bei der Zuweisung des Speichers für das eingebettete Bild auftritt, was im Weiteren zu einem Heap Overflow führen kann. Behoben wurde das Problem durch die Updates auf LibreOffice 3.5.3 und OpenOffice 3.4.

In OpenOffice wurden darüber hinaus eine kritische Lücke bei der Verarbeitung von Wordperfect-Dokumenten (.WPD), durch die ein Angreifer Bereich im Speicher überschreiben und dadurch beliebigen Code mit den Rechen des angemeldeten Nutzers ausführen kann. Gelöst wurde das Problem laut den Angaben der Entwickler, indem OpenOffice Dateien dieses Typs schlicht nicht mehr öffnet. Zudem wurde ein Fehler bei der Vearbeitung von PowerPoint-Dateien, der dazu führen kann, dass OpenOffice nicht mehr benutzbar ist (Denial of Service).

Was sich darüber hinaus bei den beiden kostenlosen Office-Paketen getan hat, erfahren Sie in den beiden Tickermeldungen zur Veröffentlichung von LibreOffice 3.5.3 und OpenOffice 3.4. (rei)

Quelle: http://www.heise.de/newsticker/meldu...e-1579949.html