LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen

Dass Open Source-Software eben nur dann mehr Sicherheit verspricht, wenn die Quellcodes auch wirklich von erfahrenen Nutzern gegengeprüft werden, zeigt sich immer wieder einmal. Ein aktuelles Beispiel ist LibreOffice, das mit seiner eigenen integrierten Skriptsprache die Möglichkeit bietet, Makros zu integrieren. Diese bergen allerdings auch Risiken.

Die Kollegen von SemperVideo demonstrieren euch hier, wie solch ein Problem aussehen kann. Denn es lassen sich aus einem Dokument heraus externe Programme starten, wenn nur der Mauszeiger über einen bestimmten Bereich fährt. Einer scheinbar vom Nutzer gestarteten Malware wären so Tür und Tor geöffnet. In der jüngsten Version ist diese Lücke geschlossen, weshalb eine Installation der aktuellsten Fassung unbedingt zu empfehlen ist.

Download LibreOffice - Umfangreiche und quelloffene Office-Suite Mehr von SemperVideo: Auf YouTube
Dieses Video empfehlen
Tags:
Dieses Video einbetten
Jetzt einen Kommentar schreiben
 
[o1] Drachen am 09.08.19 um 18:16 Uhr
++4--1
Welche jüngste Version ist denn gemeint, die letzte Version v6.1.6 aus dem abgeschlossenen 6.1er Entwicklungszweig, v6.2.5 aus dem nunmehrigen stable-Zweig 6.2 oder der neue Entwicklungszweig 6.3 mit der nagelneuen Version 6.3.0?
 
[re:1] ttoG am 09.08.19 um 21:55 Uhr
++2--1
@Drachen: Es wird wohl die 6.3.0.4 sein.
 
[re:2] 0711 am 13.08.19 um 08:24 Uhr
++1--
@Drachen: Abgesichert sind Versionen ab 6.0.7 und 6.1.3

Da 6.2 nach Veröffentlichung der Lücke kam sollte die Lücke dort nicht enthalten sein

Es geht um folgendes
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/
 
[re:1] Drachen am 13.08.19 um 19:25 Uhr
++--
@0711: danke :)
 
[o3] Firefly am 13.08.19 um 09:20 Uhr
++--
Also: benutzerdefiniert installieren und LOGO abwählen.
 
[o4] rallef am 13.08.19 um 11:09 Uhr
++--
Macros in Office-Paketen können Sicherheitslücken darstellen? Surprise, Surprise^^

Und manch einer dachte also, das gilt nur fürs böse MS Office?!
 
[o5] ContractSlayer am 13.08.19 um 12:49 Uhr
++--
Selbst wenn Sicherheitslücken in openSource Software nur von erfahrenen Benutzer gefunden werden, so können sie dank openSource von jeden Menschen auf dieses Planeten mit Erfahrung gefunden werden. Mit einen geschlossenen Code (CloseSource) sieht es da anderes aus. Darauf haben hauptsächlich nur dir Mitarbeiter eines Unternehmen Einsicht und die Möglichkeit Sicherheitslücken zu fixen aber genauso gut auch die Möglichkeit, Backdoors/Hintertüren in ihre Software sei es fur Spionage etc. einzubauen die wiederum nicht/schwer von außenstehenden mit Kenntnissen gefunden werden können.
 
[re:1] 1ST1 am 13.08.19 um 16:52 Uhr
++--
@ContractSlayer: Das ist in dem Fall aber keine superdupergeheime Sicherheitslücke, sondern eine offiziell dokumentierte Funktion, die hohes Missbrauchspotential hat. Wie heißt es so schön? It's not a bug, it's a feature!
 
[re:2] 0711 am 13.08.19 um 22:22 Uhr
++--
@ContractSlayer: Eigentlich ist gerade diese "lücke" kein Aushängeschild für OSS, da wurde eine Funktion implementiert die offenbar einfach nur absurd gefährlich war. Es gab hierzu also einen öffentlichen commit und offenbar hat niemand eine so offensichtliche fehlkonstruktion erkannt.

Ansonsten werden Lücken heute zumeist nicht durch "quellcodeeinsicht" gefunden...wie auch dieser fall vorzüglich demonstriert
Kommentar abgeben Netiquette beachten!
Einloggen

Verwandte Videos

Mehr Videos

Verwandte Tags