Drei Schwachstellen in Openoffice
In der kostenlosen Office-Suite Openoffice sind inzwischen drei Sicherheitslücken bekannt, die das Einschleusen von Code ermöglichen können. Eine neue Version, die diese Schwachstellen behebt, steht bereits in den Startlöchern.
Die Entwickler des quelloffenen Büropakets Openoffice.org arbeiten derzeit an der Fertigstellung der neuen Version 2.2. Diese soll mehrere Sicherheitslücken schließen, die in letzter Zeit entdeckt worden sind. Bereits im Februar hatten die Entwickler mit dem RC1 (Release Candidate 1) eine erste Fassung der neuen Version zu Testzwecken veröffentlicht (wir berichteten).
Die erste Schwachstelle betrifft das Öffnen speziell präparierter Wordperfect-Dokumente. Durch einen Pufferüberlauf in der Programmbibliothek "libwpd" kann beliebiger Code eingeschleust werden. Zwar sind für einige Linux-Distributionen bereits korrigierte Fassungen dieser Bibliothek verfügbar, dies hilft jedoch nicht bei Programmen, in denen die anfällige Version von libwpd fest eingebaut ist. Diese Bibliothek kommt unter Linux auch bei Programmen wie Abiword und K-Office zum Einsatz, nicht nur bei OpenOffice.
Eine andere Lücke besteht bei manipulierten Starcalc-Dateien. Auch damit lässt sich beliebiger Code einschleusen und zur Ausführung bringen, weil ein Puffer überlaufen kann. Bei der dritten Sicherheitslücke sind es eingebettete Links in Dokumenten, die zur Ausführung von Shell-Befehlen benutzt werden können.
Seit dem 23. März ist die Version Openoffice 2.2.0 RC4 verfügbar, in der die Löcher gestopft sein sollen. Die finale Version könnte bereits im Laufe dieser Woche folgen, falls keine schwer wiegenden Probleme auftauchen. Bis dahin sollten Sie Dokumente aus unsicheren Quellen besser nicht in Openoffice öffnen. Die RC4-Version ist nicht für den Einsatz auf Produktivsystemen zu empfehlen.
