2227619

Sicherheits-Update für OpenOffice stopft Lücken

14.10.2016 | 09:50 Uhr |

Apache OpenOffice ist in der neuen Version 4.1.3 erhältlich. Darin haben die Entwickler drei schwerwiegende Sicherheitslücken geschlossen und etliche Bugs behoben.

Mit OpenOffice 4.1.3 hat die Apache Foundation seit langer Zeit wieder ein Update der quelloffenen Office-Suite veröffentlicht. Die Vorversion 4.1.2 ist bereits ein knappes Jahr alt. Eine substanzielle Weiterentwicklung ist nicht erkennbar – die verbliebenen Entwickler haben lediglich Fehler beseitigt, Wörterbücher aktualisiert und Sicherheitslücken geschlossen. OpenOffice wurde allerdings schon mehrfach tot gesagt und existiert noch immer.

Die drei behobenen Schwachstellen sind immerhin so gravierend, dass eine Aktualisierung bestehender Installationen auf die neue Version zu empfehlen ist. Das in OpenOffice enthaltene PowerPoint-Pendant Impress kann beim Öffnen präparierter ODP- oder OTP-Dateien (Präsentationen oder Vorlagen) abstürzen und Chaos im Speicher hinterlassen. Die OpenOffice-Entwickler halten es ausdrücklich für möglich, dass ein Angreifer auf diesem Wege Code einschleusen und ausführen könnte. Es sind zwar bislang keine solchen Angriffe bekannt, es existiert jedoch Demo-Code (Proof of Concept).

Das Installationsprogramm für OpenOffice für Windows enthält bis einschließlich Version 4.1.2 fehlerhaften Code, der die Ausführung eines Trojanischen Pferds ermöglichen kann. Der Schädling müsste dazu allerdings bereits auf dem PC sein. Ursache sind fehlende Anführungszeichen um den Programmsuchpfad, sodass der Installer Programme in anderen Verzeichnissen ausführen kann. Auch hierfür existiert Demo-Code.

Auch die dritte Schwachstelle betrifft das Installationsprogramm für die Windows-Version von OpenOffice. Auch hier geht es um die mögliche Ausführung eines fremden, potenziell schädlichen Programms. Es müsste sich in dem Verzeichnis befinden, in dem das anfällige Installationsprogramm ausgeführt wird und sich als DLL (Programmbibliothek) ausgeben, die der Installer benötigt. Der Schädling würde mit Admin-Rechten ausgeführt, da das Installationsprogramm diese anfordert. Auch für diese Lücke ist bislang lediglich ein Demo-Exploit bekannt.

OpenOffice steht vor einer ungewissen Zukunft. Viele Entwickler sind seit 2010 zum neu gegründeten Ableger LibreOffice gewechselt, weil es mit OpenOffice schon damals nicht so recht voran ging. Dies war auch einer der Gründe für das Entstehen des designierten Nachfolgers LibreOffice. LibreOffice ist dem älteren Bruder in Sachen Funktionalität inzwischen um einige Schritte voraus, erhält regelmäßig Updates und zieht immer mehr Nutzer zu sich herüber. Beide Office-Pakete gehen auf das in den 1980er Jahren in Lüneburg und Hamburg entstandene StarOffice zurück, das 1999 durch Sun Microsystems übernommen und mitsamt Quelltexten als OpenOffice veröffentlicht wurde. Nach der Übernahme von Sun durch Oracle wuchs die Unzufriedenheit der Entwickler und einige gründeten die Document Foundation mit Sitz in Berlin. Auf Basis der OpenOffice-Quelltexte entstand hier LibreOffice.

In der Folge übergab Oracle OpenOffice 2011 an die Apache Software Foundation, unter deren Dach es noch heute besteht. Doch der Personalmangel bei den freiwilligen Software-Entwicklern könnte das baldige Ende für OpenOffice bedeuten. Projektleiter Dennis Hamilton hat dies für den Fall prognostiziert, dass nicht genügend neue Programmierer gewonnen werden können, um OpenOffice weiterzuentwickeln.

0 Kommentare zu diesem Artikel
2227619