Die beiden frei erhältlichen Office-Pakete Libreoffice und Openoffice können über eine Lücke in der Verwendung des Opendocument-Formats angegriffen werden. Entdeckt hat diese der Sicherheitsspezialist Alexander Inführ, der die Problematik in einem
Blog-Beitrag erläutert. Betroffen ist eine Funktion, die es erlaubt, Scripts auszuführen, die in einem bestimmten Verzeichnis abgelegt sind. Diese lässt sich jedoch auch so ausnutzen, dass Python-Scripts in einem beliebigen Speicherort ausgeführt werden können, sofern man diesen kennt. Und man kann auch Parameter mitliefern, wodurch die Lücke erst brisant wird.
Wie Inführ weiter erklärt, habe er das Problem sowohl an die Entwickler von Libreoffice als auch an jene von Openoffice gemeldet, bislang hat jedoch lediglich das Team von Libreoffice die Lücke repliziert und dann
geschlossen. Nutzer von Libreoffice sollten deshalb auf die Versionen 6.0.7 oder 6.1.3 umsteigen, falls sie dies noch nicht getan haben. In Openoffice besteht die Lücke leider weiterhin.
(luc)
