Der Sicherheitsdienstleister Secunia hat eine Lücke in StarOffice gemeldet, die einem Angreifer die Ausführung beliebigen Codes ermöglichen kann. Die Entwickler des freien Pendants OpenOffice haben das entsprechende Problem bereits in der letzten Woche beseitigt.

Die Ursache für die Sicherheitslücke mit der CVE-Nummer 2007-4575 sind fehlerhafte Sicherheitsrestriktionen in der integrierten Datenbank HSQLDB. Durch sie kann bei SQL-Abfragen schadhafter Java-Code mit Root-Rechten ausgeführt werden. Ein Angreifer kann diese Angriffsmöglichkeit aber nur mit Hilfe eines Anwenders ausnutzen, dem er zuvor ein entsprechend manipuliertes Dokument untergejubelt hat.

Die Lücke liegt in StarOffice 1.0.8.9 sowie älteren Versionen der Anwendung vor. Betroffen ist auch die verwandte Office-Suite OpenOffice. Deren Entwickler haben den Fehler bereits mit der in der vergangenen Woche veröffentlichten Version 2.3.1 behoben. Für StarOffice gibt es noch keinen Fix. Anwender sollten nur Dokumente aus vertrauenswürdigen Quellen öffnen. Secunia stuft den Fehler als gefährlich ein.

Korrektur: In der obigen Meldung ist uns leider eine Verwechslung der Versionsnummern unterlaufen. Richtig ist: Die Lücke besteht in StarOffice 8 und vorherigen Ausgaben, genauer in HSQLDB vor Version 1.8.0.9 sowie älteren Versionen der Datenbank. Wir bitten, das Versehen zu entschuldigen.

Der Sicherheitsdienstleister Secunia hat eine Lücke in StarOffice gemeldet, die einem Angreifer die Ausführung beliebigen Codes ermöglichen kann. Die Entwickler des freien Pendants OpenOffice haben das entsprechende Problem bereits in der letzten Woche beseitigt.