Alert!

LibreOffice zieht Update wegen kritischer Schwachstelle vor

Eine Sicherheitslücke in der NSS-Bibliothek betrifft auch LibreOffice und ermöglicht das Unterschieben von Schadcode. Updates zur Absicherung stehen bereit.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Aufmacherbild Sicherheitslücke LibreOffice

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Von

Die quelloffene Bürosoftware-Suite LibreOffice nutzt Mozillas NSS-Kryptografie-Bibliothek, die unter anderem die Transport Layer Security (TLS) umsetzt. Eine kürzlich entdeckte kritische Sicherheitslücke darin könnten Angreifer zum Ausführen von eingeschmuggelten Schadcode nutzen. Das könnte auch in LibreOffice gelingen. Mit aktualisierten Installationspaketen dichtet das Projekt die Sicherheitslücken ab.

Eigentlich planten die LibreOffice-Entwickler, die nächsten Software-Versionen im Januar freizugeben. Aufgrund der Gefahr durch die Schwachstelle haben sie das Update nun jedoch vorgezogen.

Die vom Entdecker Tavis Ormandy "BigSig" getaufte Schwachstelle tat sich auf, da die NSS-Bibliothek beim Kopieren bestimmter Zertifikate nicht prüfte, ob der Zielpuffer groß genug war. DSA- und RSA-PSS-Signaturen größer als 16384 Bit überschrieben somit die dahinter liegenden Speicherbereiche mit Inhalten, die der Angreifer kontrolliert. Die Umleitung von Funktionszeigern, um derart eingeschleusten Code auszuführen, beschreibt Ormandy zudem als "trivial".

Die fehlerbereinigten Versionen LibreOffice 7.2.4 sowie 7.1.8 stehen jetzt zum Download bereit. Das LibreOffice-Projekt schreibt in einem Blog-Beitrag, dass es allen Nutzern empfehle, die Software zu aktualisieren.

Mozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527 veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.

Siehe auch:

(dmk)