Mit speziell präparierten Powerpoint-Dateien lässt sich nicht nur Microsofts Präsentationsprogramm sondern auch Koffice unter Linux aus dem Tritt bringen. Ein Update beseitigt die Schwachstelle.
Das Open-Source-Projekt
KDE hat die überarbeitete Version 1.6.1 seines Office-Pakets Koffice für Linux bereit gestellt. Neben einigen neuen Funktionen in der Datenbankanwendung Kexi und dem Bildbearbeitungsprogramm Krita ist es vor allem die Behebung einer Sicherheitslücke im Powerpoint-Importfilter von Kpresenter, die eine Installation der aktualisierten Fassung ratsam erscheinen lässt. Weitere Änderungen, vor allem Fehlerbereinigungen, nennt das
Changelog .
Der Fehler im Importfilter für Powerpoint-Dateien betrifft nicht nur die Version 1.6 von Koffice sondern auch frühere Versionen, zumindest ab 1.2. Ursache ist die mangelnde Überprüfung von Datenfeldern, die bei speziell präparierten Powerpoint-Dateien zu einem Pufferüberlauf führen kann. Ein Angreifer könnte eine solche Datei per Mail senden oder auf einer Website zum Download anbieten.
Der Fehler kann ausgenutzt werden, um Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Fehlgeschlagene Exploit-Versuche können zum Absturz von Kpresenter führen. Exploit-Code, der diese Sicherheitslücke ausnutzt, ist bislang nicht veröffentlicht worden. Die meisten Linux-Distributoren stellen bereits neue Pakete für Koffice bereit.
Quelle:IDG Magazine Verlag GmbH/PC-WELT Online