Mit einem lapidaren Security-Advisory warnt LibreOffice vor einem Security-GAU: Bereits beim Öffnen einer ODT-Datei führt LibreOffice unter Umständen beliebige Befehle aus. Ganz ohne weitere Nachfragen oder gelbe Balken mit Warnungen, die man wegklicken müsste. Boom!

Bei Makros denkt man eigentlich an Microsoft Office, wo Cyber-Kriminelle deren Möglichkeiten bereits seit Jahren nutzen, um im großen Stil Systeme zu infizieren. Doch auch LibreOffice beherrscht Makros. Und wenn man die geschickt in ein HTML-Element einbettet, führt sie LibreOffice beim Start direkt ohne weitere Nachfragen oder Warnungen aus. Dazu genügt es offenbar, etwas wie

<iframe src='macro:Shell("whatever")'></iframe>

in die Datei zu schreiben, um whatever auszuführen. In Tests von heise Security funktionierte das auf einem Mac; Windows- und Linux-Versionen dürften von diesem Problem (CVE-2022-3140) ebenfalls betroffen sein (auch wenn das Advisory zu OS-Versionen nichts sagt). Erst die Versionen LibreOffice 7.3.6 und 7.4.1 führen zusätzliche Checks ein und zeigen stattdessen eine Warnung zu Makros an. Nutzer von LibreOffice sollten ihre Installation schleunigst aktualisieren.

(ju)