LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen

Sicherheit, Office, Security, SemperVideo, Libreoffice, Makro Sicherheit, Office, Security, SemperVideo, Libreoffice, Makro
Dass Open Source-Software eben nur dann mehr Sicherheit verspricht, wenn die Quellcodes auch wirklich von erfahrenen Nutzern gegengeprüft werden, zeigt sich immer wieder einmal. Ein aktuelles Beispiel ist LibreOffice, das mit seiner eigenen integrierten Skriptsprache die Möglichkeit bietet, Makros zu integrieren. Diese bergen allerdings auch Risiken.

Die Kollegen von SemperVideo demonstrieren euch hier, wie solch ein Problem aussehen kann. Denn es lassen sich aus einem Dokument heraus externe Programme starten, wenn nur der Mauszeiger über einen bestimmten Bereich fährt. Einer scheinbar vom Nutzer gestarteten Malware wären so Tür und Tor geöffnet. In der jüngsten Version ist diese Lücke geschlossen, weshalb eine Installation der aktuellsten Fassung unbedingt zu empfehlen ist.

Download LibreOffice - Umfangreiche und quelloffene Office-Suite Mehr von SemperVideo: Auf YouTube
Dieses Video empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben
 
Welche jüngste Version ist denn gemeint, die letzte Version v6.1.6 aus dem abgeschlossenen 6.1er Entwicklungszweig, v6.2.5 aus dem nunmehrigen stable-Zweig 6.2 oder der neue Entwicklungszweig 6.3 mit der nagelneuen Version 6.3.0?
 
@Drachen: Es wird wohl die 6.3.0.4 sein.
 
@Drachen: Abgesichert sind Versionen ab 6.0.7 und 6.1.3

Da 6.2 nach Veröffentlichung der Lücke kam sollte die Lücke dort nicht enthalten sein

Es geht um folgendes
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/
 
@0711: danke :)
 
Also: benutzerdefiniert installieren und LOGO abwählen.
 
Macros in Office-Paketen können Sicherheitslücken darstellen? Surprise, Surprise^^

Und manch einer dachte also, das gilt nur fürs böse MS Office?!
 
Selbst wenn Sicherheitslücken in openSource Software nur von erfahrenen Benutzer gefunden werden, so können sie dank openSource von jeden Menschen auf dieses Planeten mit Erfahrung gefunden werden. Mit einen geschlossenen Code (CloseSource) sieht es da anderes aus. Darauf haben hauptsächlich nur dir Mitarbeiter eines Unternehmen Einsicht und die Möglichkeit Sicherheitslücken zu fixen aber genauso gut auch die Möglichkeit, Backdoors/Hintertüren in ihre Software sei es fur Spionage etc. einzubauen die wiederum nicht/schwer von außenstehenden mit Kenntnissen gefunden werden können.
 
@ContractSlayer: Das ist in dem Fall aber keine superdupergeheime Sicherheitslücke, sondern eine offiziell dokumentierte Funktion, die hohes Missbrauchspotential hat. Wie heißt es so schön? It's not a bug, it's a feature!
 
@ContractSlayer: Eigentlich ist gerade diese "lücke" kein Aushängeschild für OSS, da wurde eine Funktion implementiert die offenbar einfach nur absurd gefährlich war. Es gab hierzu also einen öffentlichen commit und offenbar hat niemand eine so offensichtliche fehlkonstruktion erkannt.

Ansonsten werden Lücken heute zumeist nicht durch "quellcodeeinsicht" gefunden...wie auch dieser fall vorzüglich demonstriert
Kommentar abgeben Netiquette beachten!
Einloggen