LCE in Apache OpenOffice <= 4.1.10

Auf sehr unrühmliche Weise wird gerade das personelle Defizit bei OpenOffice deutlich: Für eine LCE Schwachstelle gibt es keine Updates,

LCE in Apache OpenOffice <= 4.1.10

Falls Ihr OpenOffice einsetzt, solltet Ihr derzeit nicht einfach blind aus dem Netz stammende Dateien öffnen, daß könnte im Einzelfall weh tun. In OpenOffice <= 4.1.10 wurde eine Locale-Code-Execution Schwachstelle gefunden, sprich, wer ein verändertes Dokument aufmacht, könnte sich ein Schadprogramm eingefangen haben.

Ursache ist CVE-2021-33035, ein Bufferoverflow der geschickt ASLR (Speicherverwürfelung) und DEP Schutzmaßnahmen umgeht.

Das BürgerCERT des BSI hat gestern abend noch eine Warnung vor OpenOffice rausgegeben. Etwas sehr hoffnungsvoll heißt es darin:

„Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.“

Wenn es denn nur welche gäbe 🙁 Was jetzt ein bisschen verwunderlich ist, da alleine dies Jahr schon drei Updates von OpenOffice erschienen sind.

Gefunden hat diese Lücke Eugene Lim von der malaysischen Sicherheitsfirma GovTech Singapore Cyber Security Group. Am 18. September wurde die Lücke auf der HackerOne’s Hacktivity Online Conference vorgestellt, weil Ende August das Full-Disclosure-Date angelaufen ist, ohne das ein Fix verfügbar ist.
Das stimmt zwar nicht ganz, da in einer BETA Version der Fix bereits eingebaut wurde, nur wurde daraus bis jetzt keine stabile Version 🙁

Da jetzt hoffentlich der nötige Druck ausgeübt wird, wolltest Ihr die Downloadseite von OpenOffice im Auge behalten: https://sourceforge.net/projects/openofficeorg.mirror/files/