[English]Die LibreOffice-Entwickler haben LibreOffice 24.8.5 veröffentlicht, um eine Link-Schwachstelle CVE-2025-0514 zu schließen. Über die Schwachstelle könnten sich Links missbrauchen lassen.
Die Schwachstelle CVE-2025-0514
Die Schwachstelle CVE-2025-0514 geht auf eine unzureichende Eingabevalidierung in LibreOffice zurück. Das ermöglicht die bedingungslose Ausführung von ausführbaren Windows-Hyperlink-Zielen bei der Aktivierung. Dieses Problem betrifft LibreOffice: ab 24.8 vor < 24.8.5. Der Schwachstelle wurde ein CVSS 4.0 Index von 7.2 (High) zugeordnet.
Fix mit LibreOffice 24.8.5
Die LibreOffice-Entwickler haben eine Sicherheitswarnung (Advisory) für CVE-2025-051 veröffentlicht und schreiben, dass LibreOffice über eine Funktion verfügt, mit der Hyperlinks in einem Dokument durch STRG+Klick aktiviert werden können.
Unter Windows kann der Link zur Bearbeitung an die ShellExecute-Funktion des Systems übergeben werden. LibreOffice verwendet einen Mechanismus, um Pfade zu ausführbaren Zielen für ShellExecute zu blockieren, damit nicht versucht wird, ausführbare Dateien zu starten.
In den LibreOffice-Versionen < 24.8.5 konnte dieser Mechanismus durch die Verwendung von Nicht-Datei-URLs umgangen werden, die von ShellExecute als Windows-Dateipfade interpretiert werden konnten. Angreifer hätten also beliebige Befehle ausführen können.
In den korrigierten Versionen wurde diese Umgehung blockiert. Allen Windows-Benutzern wird empfohlen, auf LibreOffice >= 24.8.5 zu aktualisieren. (via)
LibreOffice 25.2.1 sollte es auch tun.
Die LibreOffice 24.8.5.2 Version wurde mir gestern während des öffnens der 24.8.5.1 automatisch verteilt. Das dürfte hoffentlich erstmal reichen.
Dito – aber ist das neu, dass LibreOffie in der Version 24 jetzt endlich einen integrierten Updater besitzt? Ich war auf jeden Fall positiv überrascht :-) Bislang musste man immer das komplette Setup-File downloaden und drüberbügeln…
Bisher kenne ich das auch nur so, dass es bei Linux über die Distribution aktualisiert wird. Für Windows habe ich mir das mit winget automatisiert. Damit wird das dann zeitlich planbar und recht schmerzfrei.
Ach, es gibt Linux-Distributionen, die ihr mitgeliefertes LibreOffice aktualisieren? Bei Mint ist es so, dass man für eine neuere LO-Version auf die nächste Mint-Version warten muss, und die liefert ein dann bereits wieder veraltetes LibreOffice. Habe deswegen das Systempaket runtergeworfen und die Flatpak-Variante installiert, die wird tatsächlich aktuell gehalten.
Bei Linux kann man nicht einfach so Software installieren?
Das habe ich mich auch gefragt, als ich heute nachgeschaut habe, welche Version ich habe.
Gibt es schon eine Stellungnahme, der/des dafür verantwortlichen Code-Schreibenden, wie ihr/ihm das bei dem konkreten Code passiert ist?