Entwickler liefern Informationen

OpenOffice 3.4: Details zu den ausgebesserten Sicherheitslücken

Vor kurzer Zeit wurde Apache OpenOffice 3.4 zur Verfügung gestellt. Nun haben sich die Entwickler auch zu den geschlossenen Sicherheitslücken geäußert. Alle drei Schwachstellen wurden als wichtig eingestuft.

Fast ein Jahr hat es gedauert, bis nach der Übergabe des Codes von Oracle an die Apache Foundation eine neue OpenOffice-Version erschienen ist. Es gibt neben neuen Funktionen, wie Unterstützung für Passwortschutz von ODF-1.2-Dokumenten und SVG (Scalable Vector Graphics), auch Verbesserungen bei der Geschwindigkeit. Zusätzlich wurde die Export-Funktion von CSV-Dateien verbessert.

PDF-Dateien lassen sich mit zwei Passwörtern beim Exportieren versehen. Das eine ist für Öffnen und das andere für Erlaubnis zuständig. Anstelle zweier Dialoge lässt sich das Passwort in nur einem Textfeld eingeben.

Apache OpenOffice 3.4 unterstützt das alte Mozilla-Adressbuch nicht mehr. Stattdessen können Anwender auf das von SeaMonkey zugreifen. Die Software ist wie früher auch für Windows, Mac OS X und Linux verfügbar.

Nun haben sich die Entwickler auch zu den ausgebesserten Sicherheitslücken geäußert. Insgesamt gab es drei Schwachstellen, die alle als wichtig eingestuft sind.

Bei der Verarbeitung von eingebetteten Bildern konnte es zu eine Integer Overflow kommen. Bestätigt ist diese Sicherheitslücke für die Versionen 3.3 und 3.4 Beta auf allen Plattformen. Frühere Ausgaben könnten ebenso betroffen sein. Das gilt auch für einen Fehler beim Öffnen von WordPerfect-Dateien. Mit speziell manipulierten Dokumenten konnten Angreifer Speicher überschreiben.

Die Dritte Schwachstelle betrifft speziell präparierte PowerPoint-Dateien. Dieser Fehler lässt sich für so genannte DoS-Angriffe (Denial of Service) ausnutzen. Auch hier gilt, dass die Versionen 3.3 und 3.4 Beta betroffen sind. Frühere Ausgaben könnten ebenfalls anfällig sein.

In einer weiteren Ankündigung hat die Apache Software Foundation die Download-Statistiken der Software zur Verfügung gestellt. Apache OpenOffice 3.4 wurde dabei binnen acht Tagen über eine Million Mal heruntergeladen. Diese Zahlen sind ohne Erweiterungen und Sprachpakete, betreffen also nur die Kernsoftware. Des Weiteren wurde die offizielle Ankündigung 61 Mal auf Twitter geteilt und hat damit über 43.000 Anwender erreicht.

Die Anwender der Downloads kamen aus über 200 verschiedenen Ländern. 87 Prozent der Nutzer hatten der Statistik zufolge Microsoft Windows auf dem Rechner. Elf Prozent verwenden Mac OS X und zwei Prozent Linux.

Letzteres dürfte nicht verwunderlich sein, da die meisten Linux-Distributoren mittlerweile LibreOffice ausliefern. Die meisten Anwender dürften keinen Vorteil sehen, das in der Zwischenzeit sehr ausgereifte LibreOffice durch OpenOffice zu ersetzen. Es bringt eher einen Nachteil mit sich, da die Aktualisierungen in den meisten Fällen dann nicht mehr über den Software-Manager automatisiert sind. (jdo)