In LibreOffice hat das Projekt eine Sicherheitslücke entdeckt. Angreifer können dadurch Makros ausführen lassen. Aktualisierte Software bessert die Schwachstellen aus.
Anzeige
In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler vor dem Sicherheitsleck. LibreOffice unterstützt Office-URI-Schemes, um die Browser-Integration von LibreOffice mit Sharepoint-Servern zu ermöglichen. Dabei haben die Entwickler noch zusätzlich das URI-Scheme "vnd.libreoffice.command" ergänzt.
Ein sorgsam präparierter Link im Browser kann mit diesem URI-Scheme eine innere URL einbetten, die Makros mit beliebigen Argumenten ausführt, sofern sie von LibreOffice verarbeitet wird. Diese Umgehung von Sicherheitsmechanismen, die etwa die Makro-Ausführung verhindern sollen, korrigieren die Entwickler mit neuen Software-Versionen (CVE-2025-1080, CVSS 7.2, Risiko "hoch").
Die Lücke betrifft LibreOffice 24.8 und 25.2. Die aktuell verfügbaren Fassungen 24.8.5 sowie 25.2.1 korrigieren die sicherheitsrelevanten Fehler. Sie stehen auf der LibreOffice-Download-Webseite zum Herunterladen bereit. Die fehlerkorrigierten Versionen stehen bereits einige Wochen zur Verfügung: LibreOffice 24.8.5.1 erschien am 29. Januar, aktuell ist 24.8.5.2 vom 14. Februar. Die Fassung 25.2.1.1 wurde am 9. Februar veröffentlicht, aktuell ist hier 25.2.1.2 vom 24. Februar.
IT-Verantwortliche und LibreOffice-Nutzerinnen und -Nutzer sollten sicherstellen, die aktuelle Version installiert zu haben, um die Angriffsfläche für Cyberkriminelle zu minimieren.
Bereits in der vergangenen Woche hatte das LibreOffice-Projekt vor einer Sicherheitslücke gewarnt. Angreifer konnten die durch manipulierte Links in Dokumenten missbrauchen. Es war möglich, dadurch ausführbare Dateien in Windows aufzurufen und so möglicherweise Schaden anzurichten. Die Version 24.8.5 hat die Lücke geschlossen.
(
Kommentare