2629983

Kritische Lücke: Sicherheits-Updates für LibreOffice

07.12.2021 | 09:11 Uhr | Frank Ziemann

Mit außerplanmäßigen Updates schließt die Document Fundation eine gravierende Sicherheitslücke in ihrem Büropaket LibreOffice. Die Schwachstelle stammt aus Mozillas NSS-Bibliothek.

Die in Berlin ansässige Document Foundation hat am 6. Dezember wichtige Updates auf LibreOffice 7.2.4 sowie 7.1.8 bereitgestellt. LibreOffice 7.2.4 sollte turnusmäßig erst im Januar erscheinen, die Unterstützung für den Versionszweig 7.1.x ist an sich bereits am 30. November ausgelaufen. Der Grund für die außerplanmäßigen Aktualisierungen ist eine Sicherheitslücke in Mozillas quelloffener Programmbibliothek NSS (Network Security Services) für kryptografische Funktionen. Das quelloffene LibreOffice und andere Programme nutzen diese Bibliothek etwa zur Überprüfung digitaler Signaturen.

Die NSS-Schwachstelle CVE-2021-43527 wurde durch Tavis Ormandy (Google Project Zero) entdeckt und an Mozilla gemeldet. Die von Ormandy „BigSig“ getaufte Sicherheitslücke stuft Mozilla als kritisch ein. Beim Überprüfen bestimmter digitaler Signaturen mit verwundbaren NSS-Versionen können Speicherfehler (Heap Overflow) auftreten, die zum Programmabsturz führen. Eine Signatur prinzipiell nicht begrenzter Länge wird in einen Puffer fester Länge eingelesen – ein klassischer Programmierfehler. Angreifer könnten das ausnutzen, um Code einzuschleusen, der beim provozierten Programmabsturz ausgeführt würde.

▶Die neuesten Sicherheits-Updates

Mozilla hat die abgesicherten Versionen NSS 3.68.1 und 3.73 bereitgestellt. Laut Mozilla ist der Browser Firefox nicht betroffen, wohl aber das Mail-Programm Thunderbird. Tavis Ormandy führt nach Rücksprache mit Mozilla aus, allein der Empfang einer S/MIME-signierten Mail könne genügen, um einen erfolgversprechenden Angriffsvektor zu eröffnen. Weitere Programme wie der Mail-Client Evolution (Linux/Gnome) und der Dokumentenbetrachter Evince sollen ebenfalls betroffen sein, da sie NSS benutzen.

LibreOffice 7.2.4 . und 7.1.8 unterscheiden sich von ihrer jeweiligen Vorversion nur durch die enthaltene abgesicherte NSS-Version (NSS 3.73). Während es also bereits Sicherheits-Updates für LibreOffice gibt, stehen abgesicherte Thunderbird-Versionen noch nicht bereit. In dieser Woche - genauer: heute - ist ohnehin die Veröffentlichung von Firefox 95 und Firefox ESR 91.4 vorgesehen. Thunderbird 91.4 dürfte zeitnah folgen.


PC-WELT Marktplatz

2629983