Kritische Lücke in OpenOffice

Zeitgleich mit einer Sicherheitswarnung von Secunia hat OpenOffice.org eine kritische Sicherheitslücke in OpenOffice bekannt gegeben und einen Patch bereit gestellt.

Durch das Update auf die Version 2.3.1 schließt die Openoffice-Gruppe eine sehr gefährliche Sicherheitslücke in Openoffice 2.3 und früheren Versionen.

Die Schwachstelle wurde zuerst von Secunia entdeckt. Demnach gibt es einen Programmfehler in der Third-Party Database-Engine HSQLDB, die als voreingestellte Datenbank genutzt wird. Der Fehler kann von einem Hacker so ausgenutzt werden, dass mittels eingeschleusten Schad-Codes das Dokumenten-Handling in der Datenbank geändert wird.

Die Openoffice-Gruppe rät allen Usern, schnellstmöglich auf die Version 2.3.1 umzusteigen, da hier das Problem nicht besteht. Neue Features enthält das Update nicht, diese sind erst für neue, reguläre Version 2.4 geplant, die OpenOffice für März 2008 angekündigt hat.

Openoffice steht seit einiger Zeit wegen zunehmender Sicherheitsprobleme in den Schlagzeilen. Die Version 2.3 wurde erst im vergangenen September frei gegeben, kurz bevor Sicherheitsexperten eine Schwachstelle in Verbindung mit TIFF-Dateien entdeckten, die bei allen Versionen älter als 2.0.4 bestand.