LibreOffice ist unter Linux, macOS und Windows angreifbar. Nach erfolgreichen Attacken könnten Angreifer gefährliche Makros ausführen oder auf eigentlich verschlüsselte Passwörter zugreifen.
Das Notfall-Team des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft den Bedrohungsgrad der Lücken (CVE-2022-26305, CVE-2022-26306, CVE-2022-26307) als "hoch" ein. Nutzer sollten sicherstellen, dass mindestens die abgesicherten Versionen 7.2.7 oder 7.3.3 installiert sind.
Für den Web-Zugriff, beispielsweise wenn man Dateien in Google Drive ablegt, kann LibreOffice Passwörter speichern. Diese sind mit einem Master-Kennwort geschützt. Da der Initialisierungsvektor für die Verschlüsselung stets identisch war, war die Verschlüsselung schwach. Weitere Schwächen bei der Verschlüsselung sorgten dafür, dass die Entropie von 128 auf 43 Bits einbrach. Das begünstigt Brute-Force-Attacken.
Quelle: heise
Das Notfall-Team des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft den Bedrohungsgrad der Lücken (CVE-2022-26305, CVE-2022-26306, CVE-2022-26307) als "hoch" ein. Nutzer sollten sicherstellen, dass mindestens die abgesicherten Versionen 7.2.7 oder 7.3.3 installiert sind.
Die Attacken
LibreOffice führt standardmäßig ausschließlich signierte Makros in Dokumenten aus. Aufgrund von Fehlern bei Zertifikatsprüfungen könnten Angreifer die Anwendung dazu bringen, Makros mit Schadcode auszuführen.Für den Web-Zugriff, beispielsweise wenn man Dateien in Google Drive ablegt, kann LibreOffice Passwörter speichern. Diese sind mit einem Master-Kennwort geschützt. Da der Initialisierungsvektor für die Verschlüsselung stets identisch war, war die Verschlüsselung schwach. Weitere Schwächen bei der Verschlüsselung sorgten dafür, dass die Entropie von 128 auf 43 Bits einbrach. Das begünstigt Brute-Force-Attacken.
Quelle: heise
