In LibreOffice klafft eine Sicherheitslücke, die Angreifer mit manipulierten Links in Dokumenten missbrauchen können. Sie können dadurch unter Windows ausführbare Dateien aufrufen und damit möglicherweise Schaden anrichten. Eine aktualisierte Version der Bürosoftware-Suite steht zum Download bereit, die die Lücke schließt.
Anzeige
Die Entwickler von LibreOffice haben eine Sicherheitsmitteilung herausgegeben, die das Problem erörtert. Die Software unterstützt eine Funktion, mit der Hyperlinks in Dokumenten mit einem Klick bei gedrückter "Strg"-Taste direkt geöffnet werden können. Unter Windows ist es möglich, dass ein Link an die Systemfunktion ShellExecute zur weiteren Verarbeitung durchgereicht wird. Ein Mechanismus in LibreOffice soll Pfade zu ausführbaren Dateien blockieren, die an ShellExecute durchgereicht werden, um zu verhindern, dass dadurch ausführbare Dateien aufgerufen werden.
Diesen Sicherheitsmechanismus können Angreifer mit sorgsam prapärieren Links in Dokumenten umgehen. Das gelingt durch die Nutzung von Nicht-Datei-URLs, die von ShellExecute als Windows-Dateipfade interpretiert werden können (CVE-2025-0514, CVSS 7.2, Risiko "hoch"). Wie solche Links aussehen würden und wie man erkennt, ob diese Lücke missbraucht wird, erörtern die Entwickler von LibreOffice jedoch nicht.
Die fehlerkorrigierten Versionen blockieren solche Umgehungsversuche. Betroffen ist LibreOffice ab Version 24.8. Die seit einigen Tage erhältliche Version 24.8.5 und neuere Fassungen weisen diesen Fehler nicht mehr auf. Die LibreOffice-Entwickler empfehlen insbesondere Windows-Nutzern, das Update auf diese oder neuere Versionen durchzuführen. Sie steht auf der Download-Seite von LibreOffice zum Herunterladen bereit.
Zuletzt wurde im vergangenen September eine Sicherheitslücke in LibreOffice bekannt. Dort hatte die Reparaturfunktion für beschädigte Dateien im ZIP-Format dafür gesorgt, dass digitale Signaturen als gültig angesehen wurden, obwohl sie defekt waren.
(
Kommentare