Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: LibreOffice zieht Update wegen kritischer Schwachstelle vor

Die quelloffene Bürosoftware-Suite LibreOffice nutzt Mozillas NSS-Kryptografie-Bibliothek, die unter anderem die Transport Layer Security (TLS) umsetzt. Eine kürzlich entdeckte kritische Sicherheitslücke darin könnten Angreifer zum Ausführen von eingeschmuggelten Schadcode nutzen. Das könnte auch in LibreOffice gelingen. Mit aktualisierten Installationspaketen dichtet das Projekt die Sicherheitslücken ab.

Eigentlich planten die LibreOffice-Entwickler, die nächsten Software-Versionen im Januar freizugeben. Aufgrund der Gefahr durch die Schwachstelle haben sie das Update nun jedoch vorgezogen.

Zu große Zertifikate​

Die vom Entdecker Tavis Ormandy "BigSig" getaufte Schwachstelle tat sich auf, da die NSS-Bibliothek beim Kopieren bestimmter Zertifikate nicht prüfte, ob der Zielpuffer groß genug war. DSA- und RSA-PSS-Signaturen größer als 16384 Bit überschrieben somit die dahinter liegenden Speicherbereiche mit Inhalten, die der Angreifer kontrolliert. Die Umleitung von Funktionszeigern, um derart eingeschleusten Code auszuführen,
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.
Die fehlerbereinigten Versionen LibreOffice 7.2.4 sowie 7.1.8 stehen jetzt zum Download bereit. Das
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, dass es allen Nutzern empfehle, die Software zu aktualisieren.

Auch betroffen​

Mozilla hat ein eigenes
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.
Quelle: heise
 
Zum Vergrößern anklicken....

Ähnliche Themen

edgonzo
  • Artikel
Handy - Navigation Samsung Android: IT-Sicherheitswarnung vor neuer Schwachstelle.
Antworten
0
Aufrufe
1K
edgonzo
edgonzo
josef.13
  • Artikel
Hardware & Software Kritische Lücke in VPN von Securepoint
Antworten
0
Aufrufe
506
josef.13
josef.13
u040201
  • Artikel
Hardware & Software Alert! Codeschmuggel-Lücke in Ghostscript betrifft LibreOffice und mehr
Antworten
0
Aufrufe
881
u040201
u040201
O
  • Artikel
Hardware & Software Videokonferenz: BSI findet kritische Security-Schwachstellen bei BigBlueButton
Antworten
0
Aufrufe
396
opapa
O
edgonzo
  • Artikel
Hardware & Software LogoFAIL: Sicherheitslücke bedroht Millionen von PC-Nutzern.
Antworten
0
Aufrufe
1K
edgonzo
edgonzo
Zurück
Oben