Für die 0-day-Schwachstelle CVE-2018-16858 in OpenOffice gibt es einen Micro-Patch. Und für die Schwachstelle, die in LibreOffice durch ein Update geschlossen wird, gibt es ein Proof of Concept (PoC).
Anzeige
LibreOffice RCE-Schwachstelle CVE-2018-16858
In LibreOffice (und OpenOffice) gibt es eine Remote Code Execution-Schwachstelle CVE-2018-16858, die ich im Blog-Beitrag Remote Code Execution-Schwachstelle in LibreOffice kurz adressiert hatte. Diese Schwachstelle wurde in LibreOffice 6.0.7/6.1.3 behoben, wie man in diesem LibreOffice-Dokument nachlesen kann. Nun weist John Lambert vom Microsoft Threat Intelligence Center auf ein Proof of Concept (PcC) hin, mit der sich die Schwachstelle (in LibreOffice und OpenOffice) ausnutzen lässt.
Use LibreOffice? You might be interested in this PoC for CVE-2018-16858 (discovered by @insertScript) uploaded to VT as LibreOfficeExploit.fodt.
https://t.co/4RoJGRgyWa
https://t.co/PFaaoC4AnC
https://t.co/FiikekzOOZ pic.twitter.com/RNHP9NKV2s— John Lambert (@JohnLaTwC) 5. Februar 2019
Das PoC wurde von Alex Inführ, einem Blogger aus Österreich, entwickelt. Dieser hat auch die Schwachstelle entdeckt und nun den Ansatz für ein PoC im Artikel Libreoffice (CVE-2018-16858) – Remote Code Execution via Macro/Event execution auf seiner privaten Google-Blogspot-Seite veröffentlicht. Wer LibreOffice einsetzt, sollte also zügig auf die Versionen 6.0.7/6.1.3 (oder höher) aktualisieren.
OpenOffice bekommt Micro-Patch für CVE-2018-16858
Alle Versionen von OpenOffice/LibreOffice weisen die Schwachstelle CVE-2018-16858 bis zur Version 6.0.6/6.1.2.1 auf. Die Schwachstelle hat ein CVSS3 Base Score von 7,8 (moderat) von Red Hat erhalten. Während die Entwickler in LibreOffice diese in den Versionen 6.0.7/6.1.3 geschlossen haben, kommen die OpenOffice-Entwickler mit Updates nicht hinterher.
Anzeige
Note: the micropatch only applies to the latest version of OpenOffice for Windows (version 4.1.6). In addition to this micropatch, we also released two micropatches (32-bit and 64-bit) for the same issue in the latest vulnerable version of LibreOffice (version 6.1.2.1).
— 0patch (@0patch) 13. Februar 2019
Für die Windows-Version von OpenOffice hat 0patch einen Mico-Patch zum Schließen der Schwachstelle freigegeben (siehe obigen Tweet). Bleeping Computer hat hier ein paar Informationen dazu veröffentlicht.
Anzeige
Ich habe seit einiger Zeit Libre Office Version: 6.1.3.2 (x64) in Verwendung. Ein Update habe ich bisher noch nicht erhalten. Bin ich mit meiner Version auch betroffen und wenn JA, was sollte ich unternehmen? Auf der Herstellerseite von Libre Office wird mir nur Version: 6.2.0 angeboten. Danke für Infos im Voraus.
Bei mir ist die LibreOffice Version 6.2.0.3 vom 08.02.2019 installiert.
32 Bit Version für Windows 7.
Weiß einer der Blog Teilnehmer hier, ob diese Version sicher ist ?
Es heißt oben Versionen 6.0.7/6.1.3 – alles was höhere Versionsangaben hat ist imho sicher.
Es gibt eine sehr gute Alternative zu Open / Libre Office: Softmaker (Free) Office.
Und die Vorgängerversion 2016 gibts seit einiger Zeit gratis, keine Einschränkung (davor 70EUR)!
http://www.softmaker.de/reg/ofw16free_de.htm
Ein alter Hut.
Die Macher von Libre- und OpenOffice haben diese Lücke schon vor einiger Zeit behoben, dies aber nicht an die große Glocke gehängt.
Das scheint für OpenOffice nicht zu stimmen. Die aktuelle Version 4.1.6 datiert von November 2018 und soll diese Lücke aufweisen. Die verfügbare portable Version ist noch 4.1.5 und damit über ein Jahr alt. OpenOffice scheint weitgehend tot. Ich hatte es noch längere Zeit benutzt, da es bei mir stabiler lief als LibreOffice, aber mittlerweile ist auch das LibreOffice für Windows hinreichend stabil (hier 6.1.5).
Stimmt. OpenOffice hatte es verpent.
LibreOffice (aktuell: 6.2.0.3) läuft stabile und hat dieses Problem nicht.
Ab dem 21. September 2019 ist nun Apache OpenOffice 4.1.7 verfügbar.
https://www.openoffice.org/de/