Libreoffice warnt User von einer bestehenden Sicherheitslücke, die das Unternehmen in einer aktualisierten Version nun geschlossen hat. Das Sicherheitsrisiko mit der Kennzeichnung CVE-2025-0514 und der Risikoklassifizierung hoch ermöglicht es Angreifern, Links mit ausführbarem Schadcode in einem Dokument zu implementieren. Grundsätzlich unterbindet
Libreoffice, dass Links einen Befehl zur weiteren Verarbeitung an die Systemfunktion "ShellExecute" weiterleiten. In der geannten Sicherheitslücke ist allerdings genau dieses Szenario durch manipulierte Links möglich.
Die Entwickler gehen wohl aus Sicherheitsgründen nicht weiter darauf ein, wie solche präparierten Links aussehen. Die betroffenen Versionen der Office-Suite sind jene ab der Version 24.8. In der aktualisierten Version 24.8.5 ist das hier beschriebene Sicherheitsproblem gelöst.
Die Version 24 ist aber ohnehin nicht mehr die aktuellste, sondern wird als frühere stabile Version beschrieben, die von der Open-Source-Community noch bis zum Juni dieses Jahres aktiv gepflegt wird. Die neueste Version 25.2, die nicht vom hier beschriebenen Sicherheitsrisiko betroffen ist, ist auch in der Freeware-Library von "Swiss IT Magazine" zu
finden.
(dok)
