OpenOffice- und LibreOffice Schwachstelle CVE-2018-16858

Für die 0-day-Schwachstelle CVE-2018-16858 in OpenOffice gibt es einen Micro-Patch. Und für die Schwachstelle, die in LibreOffice durch ein Update geschlossen wird, gibt es ein Proof of Concept (PoC).


Anzeige

LibreOffice RCE-Schwachstelle CVE-2018-16858

In LibreOffice (und OpenOffice) gibt es eine Remote Code Execution-Schwachstelle CVE-2018-16858, die ich im Blog-Beitrag Remote Code Execution-Schwachstelle in LibreOffice kurz adressiert hatte. Diese Schwachstelle wurde in LibreOffice 6.0.7/6.1.3 behoben, wie man in diesem LibreOffice-Dokument nachlesen kann. Nun weist John Lambert vom Microsoft Threat Intelligence Center auf ein Proof of Concept (PcC) hin, mit der sich die Schwachstelle (in LibreOffice und OpenOffice) ausnutzen lässt.

Das PoC wurde von Alex Inführ, einem Blogger aus Österreich, entwickelt. Dieser hat auch die Schwachstelle entdeckt und nun den Ansatz für ein PoC im Artikel Libreoffice (CVE-2018-16858) – Remote Code Execution via Macro/Event execution auf seiner privaten Google-Blogspot-Seite veröffentlicht. Wer LibreOffice einsetzt, sollte also zügig auf die Versionen 6.0.7/6.1.3 (oder höher) aktualisieren.

OpenOffice bekommt Micro-Patch für CVE-2018-16858

Alle Versionen von OpenOffice/LibreOffice weisen die Schwachstelle CVE-2018-16858 bis zur Version 6.0.6/6.1.2.1 auf. Die Schwachstelle hat ein CVSS3 Base Score von 7,8 (moderat) von Red Hat erhalten. Während die Entwickler in LibreOffice diese in den Versionen 6.0.7/6.1.3 geschlossen haben, kommen die OpenOffice-Entwickler mit Updates nicht hinterher.


Anzeige

Für die Windows-Version von OpenOffice hat 0patch einen Mico-Patch zum Schließen der Schwachstelle freigegeben (siehe obigen Tweet). Bleeping Computer hat hier ein paar Informationen dazu veröffentlicht.


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu OpenOffice- und LibreOffice Schwachstelle CVE-2018-16858

  1. Guido sagt:

    Ich habe seit einiger Zeit Libre Office Version: 6.1.3.2 (x64) in Verwendung. Ein Update habe ich bisher noch nicht erhalten. Bin ich mit meiner Version auch betroffen und wenn JA, was sollte ich unternehmen? Auf der Herstellerseite von Libre Office wird mir nur Version: 6.2.0 angeboten. Danke für Infos im Voraus.

  2. Hans Thölen sagt:

    Bei mir ist die LibreOffice Version 6.2.0.3 vom 08.02.2019 installiert.
    32 Bit Version für Windows 7.
    Weiß einer der Blog Teilnehmer hier, ob diese Version sicher ist ?

  3. Randolf sagt:

    Es gibt eine sehr gute Alternative zu Open / Libre Office: Softmaker (Free) Office.

  4. Alfred Neumann sagt:

    Ein alter Hut.
    Die Macher von Libre- und OpenOffice haben diese Lücke schon vor einiger Zeit behoben, dies aber nicht an die große Glocke gehängt.

  5. Doc_WP sagt:

    Das scheint für OpenOffice nicht zu stimmen. Die aktuelle Version 4.1.6 datiert von November 2018 und soll diese Lücke aufweisen. Die verfügbare portable Version ist noch 4.1.5 und damit über ein Jahr alt. OpenOffice scheint weitgehend tot. Ich hatte es noch längere Zeit benutzt, da es bei mir stabiler lief als LibreOffice, aber mittlerweile ist auch das LibreOffice für Windows hinreichend stabil (hier 6.1.5).

  6. DiWÜ sagt:

    Ab dem 21. September 2019 ist nun Apache OpenOffice 4.1.7 verfügbar.
    https://www.openoffice.org/de/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.