Sicherheitsupdates: LibreOffice könnte Passwörter für Web-Zugriffe leaken
Die Entwickler haben das freie Office-Paket LibreOffice gegen mögliche Attacken abgesichert und insgesamt drei Sicherheitslücken geschlossen.
(Bild: Photon photo/Shutterstock.com)
LibreOffice ist unter Linux, macOS und Windows angreifbar. Nach erfolgreichen Attacken könnten Angreifer gefährliche Makros ausführen oder auf eigentlich verschlüsselte Passwörter zugreifen.
Das Notfall-Team des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft den Bedrohungsgrad der Lücken (CVE-2022-26305, CVE-2022-26306, CVE-2022-26307) als "hoch" ein. Nutzer sollten sicherstellen, dass mindestens die abgesicherten Versionen 7.2.7 oder 7.3.3 installiert sind.
Die Attacken
LibreOffice führt standardmäßig ausschließlich signierte Makros in Dokumenten aus. Aufgrund von Fehlern bei Zertifikatsprüfungen könnten Angreifer die Anwendung dazu bringen, Makros mit Schadcode auszuführen.
Für den Web-Zugriff, beispielsweise wenn man Dateien in Google Drive ablegt, kann LibreOffice Passwörter speichern. Diese sind mit einem Master-Kennwort geschützt. Da der Initialisierungsvektor für die Verschlüsselung stets identisch war, war die Verschlüsselung schwach. Weitere Schwächen bei der Verschlüsselung sorgten dafür, dass die Entropie von 128 auf 43 Bits einbrach. Das begünstigt Brute-Force-Attacken.
- Execution of Untrusted Macros Due to Improper Certificate Validation
- Static Initialization Vector Allows to Recover Passwords for Web Connections Without Knowing the Master Password
- Weak Master Keys
(des)
