LCE in Apache OpenOffice <= 4.1.10

Auf sehr unrühmliche Weise wird gerade das personelle Defizit bei OpenOffice deutlich: Für eine LCE Schwachstelle gibt es keine Updates,

LCE in Apache OpenOffice <= 4.1.10

Falls Ihr OpenOffice einsetzt, solltet Ihr derzeit nicht einfach blind aus dem Netz stammende Dateien öffnen, daß könnte im Einzelfall weh tun. In OpenOffice <= 4.1.10 wurde eine Locale-Code-Execution Schwachstelle gefunden, sprich, wer ein verändertes Dokument aufmacht, könnte sich ein Schadprogramm eingefangen haben.

Ursache ist CVE-2021-33035, ein Bufferoverflow der geschickt ASLR (Speicherverwürfelung) und DEP Schutzmaßnahmen umgeht.

Das BürgerCERT des BSI hat gestern abend noch eine Warnung vor OpenOffice rausgegeben. Etwas sehr hoffnungsvoll heißt es darin:

„Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.“

Wenn es denn nur welche gäbe 🙁 Was jetzt ein bisschen verwunderlich ist, da alleine dies Jahr schon drei Updates von OpenOffice erschienen sind.

Gefunden hat diese Lücke Eugene Lim von der malaysischen Sicherheitsfirma GovTech Singapore Cyber Security Group. Am 18. September wurde die Lücke auf der HackerOne’s Hacktivity Online Conference vorgestellt, weil Ende August das Full-Disclosure-Date angelaufen ist, ohne das ein Fix verfügbar ist.
Das stimmt zwar nicht ganz, da in einer BETA Version der Fix bereits eingebaut wurde, nur wurde daraus bis jetzt keine stabile Version 🙁

Da jetzt hoffentlich der nötige Druck ausgeübt wird, wolltest Ihr die Downloadseite von OpenOffice im Auge behalten: https://sourceforge.net/projects/openofficeorg.mirror/files/

Linux am Dienstag: Programm für den 21. September 2021

Und wieder ist eine Woche rum und wir neues aus der Linux Welt.

Linux am Dienstag: Programm für den 21. September 2021

Am Dienstag haben wir u.A. im Programm:

Schwachstelle: Microsoft Azure Authenticator für Linux VMs
Vortrag – „Nichts für die Ewigkeit“
Schwachstelle in Chromium < 93 #2 – Exploit unterwegs
Neues vom Libre M
Verfahren gegen CCC-Sicherheitsforscherin eingestellt
Kernel 5.13.16 buggy?

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .