Sicherheitslücken in Libreoffice erlauben remote Zugriff

- 19. Juli 2019

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wegen zweier remote ausnutzbaren Sicherheistlücken in Libreoffice eine Technische Warnung ausgegeben. Betroffen sind die Libreoffice-Verionen vor 6.2.5 in den Versionen für Linux, Windows und Mac OS.

In der von der Document Foundation bereits veröffentlichten Version 6.2.5 sind die Probleme behoben. Das BSI schreibt zu der Problematik: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in LibreOffice ausnutzen, um beliebige Befehle mit Benutzerrechten auszuführen oder Sicherheitsvorkehrungen zu umgehen. Dazu muss das Opfer jedoch ein entsprechend modifiziertes Dokument öffnen.

Bei Libreoffice selbst finden sich zwei entsprechende Advisories. Um einen Angriff zu ermöglichen muss der Benutzer bei beiden Lücken ein präpariertes Dokument öffnen.

Bei der Lücke CVE-2019-9848 lässt sich über das LibreLogo-Skript des Office-Programms Python-Code ausführen. In einem entsprechend präparierten und vom Nutzer geöffneten Dokument geschieht das bei diversen Events, etwa bei MouseOver.

Die zweite Sicherheitslücke CVE-2019-9849 lässt sich im Stealth-Modus des Programms ausnutzen, der dem Nutzer eigentlich mehr Sicherheit verspricht, indem er externe Inhalte nur bei Dokumente aus vertrauenswürdigen Quellen akzeptiert. Dieser Modus lässt sich aber durch grafische Bullets übertölpeln, die der Stealth-Modus nicht einbezieht.

Die von den Problemen befreite Version Libreoffice 6.2.5 steht für Linux. Mac OS und Windows zum Download zur Verfügung. Einige Linux-SDistributionen haben ihre Ofice-Pakete bereits auf den neusten Stand gebracht. Darunter Ubuntu, Debian und Fedora.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen