18.09.2007 08:50
Die am gestrigen Montag veröffentlichte OpenOffice-Version 2.3 bringt nicht nur kosmetische Korrekturen, ein neues Chart-Modul, einen erweiterten Diagramm-Assistenten sowie einen überarbeiteten Report-Designer mit, sondern schließt auch eine Sicherheitslücke. Angreifer können die Schwachstelle in den Vorgängerversionen dazu nutzen, arglosen Opfern mittels präparierter Dokumente Schadcode unterzujubeln.
Die älteren OpenOffice-Versionen patzen beim Verarbeiten von Grafiken und Bildern im TIFF-Format. Der Sicherheitsdienstleister iDefense erläutert, dass die zuständigen OpenOffice-Routinen Einträge aus dem Directory des TIFF-Bildes ohne weitere Prüfung verwenden, um die Größe des zu reservierenden Speichers zu berechnen. Durch sorgsam ausgewählte Werte kann ein Ganzzahl-Überlauf in dieser Berechnung auftreten und in der Folge einen Pufferüberlauf auslösen. Dabei zur Ausführung gelangender Programmcode läuft mit den Rechten des Anwenders, der OpenOffice aufgerufen hat.
Nutzer älterer OpenOffice-Versionen sollten sobald wie möglich auf die aktuelle Fassung des Office-Pakets umsteigen. Die deutschen Versionen für Windows und Linux stehen bereits zum Download bereit.
Siehe dazu auch:
(dmk)
English version: OpenOffice 2.3 closes security hole
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-176045
