LibreOffice: Attacke über Makros

Eine Sicherheitslücke in LibreOffice hat zur Folge, dass ein entfernter Angreifer beliebige Befehle mit den Rechten des Anwenders ausführen kann.  Ursache hierfür ist ein Fehler beim Verarbeiten von LibreOffice-Makros, die der Angreifer ausnutzen kann.

Dabei ist der Angriff denkbar einfach. Der Angreifer muss lediglich die Anweisung

<iframe src='macro:Shell("Befehl")'></iframe>

in seine Datei schreiben, um “Befehl” auszuführen. Der Befehl wird direkt beim Öffnen der ODT-Datei ausgeführt. Der Anwender bekommt hiervon nichts mit, da keinerlei Meldung angezeigt wird.

Das Problem wurde in den LibreOffice Versionen 7.3.6/7.4.1 korrigiert. Dort werden entsprechende URIs geblockt und nicht mehr direkt ausgeführt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben