04.02.2019
Freie Büro-Software
Kritische Lücke in LibreOffice und OpenOffice
Autor: Stefan Bordel
enzozo / Shutterstock.com
Eine kritische Lücke in den freien Büro-Lösungen LibreOffice und OpenOffice erlaubt Angreifern das Ausführen von Schadcode. Nutzern von LibreOffice steht bereits ein Update zur Verfügung, das den Fehler behebt.
Office-Lösungen gehören für Angreifer zu den probatesten Mitteln, um unbemerkt Schadcode auf Systeme zu schleusen. So haben sich in der Vergangenheit etwa oftmals Verschlüsselungstrojaner und andere Schädlinge über Office-Makros verbreitet. Aktuell sind speziell Nutzer der freien Büro-Lösungen LibreOffice und OpenOffice gefährdet, da eine kritische Lücke in den Tools das Ausführen von Schadcode erlaubt.
Der Sicherheitsspezialist Alex Inführ ist auf den Fehler gestoßen und beschreibt auf seinem Blog detailliert, was es mit der Schwachstelle auf sich hat. Laut Inführ sind sowohl Windows- als auch Linux-Nutzer von dem Bug betroffen. Bereits das Öffnen einer manipulierten ODT-Datei soll ausreichen, um Angreifern den Zugang zum System zu ebnen. Hierbei wird ein zuvor im Dokument integriertes Skript per Mouse Over aktiviert. Sobald der Mauszeiger über den in der ODT-Datei präparierten Link fährt, wird eine vom Angreifer vordefinierte Python-Datei durch das Skript lokal ausgeführt. Der Nutzer erfährt von dem Vorgang nichts, da die Office-Tools keine Benachrichtigung ausspielen.
Inführ hatte den Fehler bereits Mitte Oktober vergangenen Jahres an die Entwickler der beiden Projekte weitergeben. In LibreOffice wurde die Schwachstelle dann Ende Oktober behoben, die aktuellen Versionen 6.1.4 und 6.0.7 sind daher schon abgesichert.
Bei OpenOffice hat man hingegen noch nicht auf den Fehler reagiert, die derzeitige Version 4.1.6 ist demnach über die Sicherheitslücke verwundbar. Seit sich das LibreOffice-Projekt von OpenOffice abgespalten hatte, verlangsamt sich die Entwicklung der Lösung zusehends. Schon im Jahr 2016 zog der Chef-Entwickler Dennis Hamilton ein mögliches Ende der alternativen Bürosuite in Betracht. Bis dato ist die Software aber immer noch verfügbar - auch ohne Sicherheitsupdates.
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>