Libre Office: Entfernter Angreifer kann Updates manipulieren

Eine Sicherheitslücke in dem automatischen Update-Mechanismus von Libre Office hat zur Folge, dass ein entfernter Angreifer sich als Update-Server ausgeben kann. Damit ist er dann in der Lage Updates zu manipulieren und damit im Endeffekt beliebige Befehle mit den Rechten des Anwenders ausführen.

Das Problem entsteht, weil Libre Office Updates via HTTP Protokoll anfordert. Allerdings setzt das Programm hierbei keine digitalen Signaturen zum Verifizieren der Updates ein. Dadurch kann ein entfernter Angreifer Man-in-the-Middle-Attacken durchführen und so die Rolle des Update-Servers übernehmen, um eigene Updates einzuspielen.

Während eines Updates sendet Libre Office eine HTTP-“GET”-Anfrage folgender Bauart an den Update-Server:

GET /check.php HTTP/1.1
Connection: TE, close
TE: trailers
Host: update.libreoffice.org
Accept-Encoding: gzip
Pragma: no-cache
Accept-Language: en-US
User-Agent: LibreOffice 4.0 .0.3 (7545bee9c2a0782548772a21bc84a9dcc583b89;
 Windows; x86; BundledLanguages=en-US af am ar as ast be bg bn bn-IN bo ...)

wobei “update.libreoffice.org” der Update-Server ist. Dieser Antwortet mit einem XML-Datensatz, der folgendermaßen aussieht:

<?xml version="1.0" encoding="utf-8"?>
<inst:description xmlns:inst="http://update.libreoffice.org/description">
  <inst:id>LibreOffice 4.0.1</inst:id>
  <inst:gitid>84102822e3d61eb989ddd325abf1ac077904985</inst:gitid>
  <inst:os>Windows</inst:os>
  <inst:arch>x86</inst:arch>
  <inst:version>4.0.1</inst:version>
  <inst:buildid>9999</inst:buildid>
  <inst:update type="text/html" src="http://www.libreoffice.org/download/" />
</inst:description>

All diese Daten gehen unverschlüsselt über das Netzwerk, wodurch ein entfernter Angreifer leichtes Spiel hat, diese Verbindung abzufangen. Da Libre Office auch keine Signaturen zum Prüfen bereitgestellter Updates verwendet, lassen sich sehr einfach beliebige Befehle ausführen.

Betroffen sind die Versionen 4.0.1.2 und älter.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben