[English]Die LibreOffice-Entwickler haben LibreOffice 24.8.5 veröffentlicht, um eine Link-Schwachstelle CVE-2025-0514 zu schließen. Über die Schwachstelle könnten sich Links missbrauchen lassen.
Anzeige
Die Schwachstelle CVE-2025-0514
Die Schwachstelle CVE-2025-0514 geht auf eine unzureichende Eingabevalidierung in LibreOffice zurück. Das ermöglicht die bedingungslose Ausführung von ausführbaren Windows-Hyperlink-Zielen bei der Aktivierung. Dieses Problem betrifft LibreOffice: ab 24.8 vor < 24.8.5. Der Schwachstelle wurde ein CVSS 4.0 Index von 7.2 (High) zugeordnet.
Fix mit LibreOffice 24.8.5
Die LibreOffice-Entwickler haben eine Sicherheitswarnung (Advisory) für CVE-2025-051 veröffentlicht und schreiben, dass LibreOffice über eine Funktion verfügt, mit der Hyperlinks in einem Dokument durch STRG+Klick aktiviert werden können.
Unter Windows kann der Link zur Bearbeitung an die ShellExecute-Funktion des Systems übergeben werden. LibreOffice verwendet einen Mechanismus, um Pfade zu ausführbaren Zielen für ShellExecute zu blockieren, damit nicht versucht wird, ausführbare Dateien zu starten.
In den LibreOffice-Versionen < 24.8.5 konnte dieser Mechanismus durch die Verwendung von Nicht-Datei-URLs umgangen werden, die von ShellExecute als Windows-Dateipfade interpretiert werden konnten. Angreifer hätten also beliebige Befehle ausführen können.
Anzeige
In den korrigierten Versionen wurde diese Umgehung blockiert. Allen Windows-Benutzern wird empfohlen, auf LibreOffice >= 24.8.5 zu aktualisieren. (via)
Anzeige
LibreOffice 25.2.1 sollte es auch tun.
Die LibreOffice 24.8.5.2 Version wurde mir gestern während des öffnens der 24.8.5.1 automatisch verteilt. Das dürfte hoffentlich erstmal reichen.