Die Sicherheit von Software ist ein entscheidender Faktor für Nutzer weltweit. LibreOffice, als eine der führenden kostenlosen und Open-Source-Office-Suiten, legt großen Wert auf die Behebung von Sicherheitslücken, um den Schutz seiner Anwender zu gewährleisten. Diese Übersicht beleuchtet die jüngsten Sicherheitsupdates und gibt Einblicke in die behobenen Schwachstellen, die in verschiedenen Versionen von LibreOffice adressiert wurden.
Wichtige Sicherheitsupdates und behobene Schwachstellen
Die fortlaufende Verbesserung der Software-Sicherheit ist ein Kernanliegen des LibreOffice-Projekts. Regelmäßige Updates schließen bekannte Sicherheitslücken, die von Experten identifiziert und gemeldet werden. Diese CVEs (Common Vulnerabilities and Exposures) werden sorgfältig analysiert und durch Patches in neuen Versionen behoben.
Adressiert in LibreOffice 25.2.4/25.8.0
Eine bemerkenswerte Schwachstelle, die in dieser Version adressiert wurde, ist CVE-2025-14714. Diese befasste sich mit einem “TCC Bypass via Inherited Permissions in Bundled Interpreter”, was auf eine potenzielle Umgehung von Berechtigungen durch den integrierten Interpreter hinwies.
Adressiert in LibreOffice 24.8.6/25.2.2
Die Version 24.8.6/25.2.2 behebt die Schwachstelle CVE-2025-2866, welche eine “PDF signature forgery with adbe.pkcs7.sha1 SubFilter” ermöglichte. Dies betraf die Möglichkeit der Fälschung von PDF-Signaturen.
Adressiert in LibreOffice 24.8.5/25.2.1
Hier wurde CVE-2025-1080 behoben, eine Schwachstelle, die “Macro URL arbitrary script execution” ermöglichte. Nutzer können nun sicherer mit Makros umgehen, da die Ausführung von Skripten über Makro-URLs unterbunden wird.
Adressiert in LibreOffice 24.8.5
Die Schwachstelle CVE-2025-0514 wurde in dieser Version adressiert. Sie ermöglichte die “Executable hyperlink Windows path targets executed unconditionally on activation”, was bedeutet, dass Hyperlinks zu ausführbaren Dateien unter Windows ohne weitere Bestätigung ausgeführt werden konnten.
Adressiert in LibreOffice 24.8.4
In dieser Version wurden zwei wichtige Schwachstellen behoben:
- CVE-2024-12425: Ein “Path traversal leading to arbitrary .ttf file write”, der Angreifern das Schreiben beliebiger TrueType-Schriftartendateien auf dem System ermöglichte.
- CVE-2024-12426: Eine Schwachstelle, bei der “URL fetching can be used to exfiltrate arbitrary INI file values and environment variables”, was zum Auslesen sensibler Konfigurations- und Umgebungsvariablen führen konnte.
Weitere behobene Schwachstellen über die Versionen hinweg
Die Liste der behobenen Schwachstellen ist lang und erstreckt sich über viele Versionen von LibreOffice. Sie umfasst eine breite Palette von Sicherheitsproblemen, darunter:
- Ausführung von Makros und Skripten: Mehrere CVEs wie CVE-2025-1080, CVE-2024-6472, CVE-2023-6186, CVE-2022-26305, CVE-2019-9854, CVE-2019-9850, CVE-2019-9851, CVE-2019-9852 und CVE-2019-9848 betreffen die unsichere Ausführung von Skripten und Makros durch unzureichende Validierung von URLs, Zertifikaten oder Berechtigungen.
- Dateizugriff und -manipulation: Schwachstellen wie CVE-2024-12425, CVE-2024-12426, CVE-2023-2255, CVE-2018-10583, CVE-2015-4551, CVE-2014-3575 und CVE-2015-1774 ermöglichten unbefugten Dateizugriff, das Überschreiben lokaler Dateien oder das Auslesen sensibler Informationen.
- Pufferüberläufe und Speicherfehler: Eine Reihe von CVEs, darunter CVE-2021-43527, CVE-2018-10119, CVE-2017-7870, CVE-2016-10327, CVE-2017-7856, CVE-2017-7882, CVE-2017-8358, CVE-2020-12802, CVE-2015-5213, CVE-2015-1774, CVE-2018-10120 und CVE-2017-12607, beziehen sich auf Pufferüberläufe und Speicherfehler, die zu Abstürzen oder potenziell zur Ausführung von Schadcode führen können.
- Verschlüsselung und Signaturen: CVE-2025-2866, CVE-2024-7788, CVE-2022-26306, CVE-2022-26307, CVE-2021-25636, CVE-2021-25633, CVE-2021-25634, CVE-2021-25635 und CVE-2020-12801 adressieren Probleme im Zusammenhang mit der Verarbeitung von Signaturen, der Verschlüsselung von Verbindungen und der Vertrauenswürdigkeit von digitalen Zertifikaten.
- Andere spezifische Schwachstellen: Dies umfasst auch Probleme wie Integer-Überläufe (z.B. CVE-2021-0950, CVE-2012-1149, CVE-2012-2334), falsche URL-Dekodierung (z.B. CVE-2019-9853), und Probleme bei der Verarbeitung spezifischer Dateiformate wie DOCX, ODF, PPT, RTF, WMF, EMF, HWP und Lotus WordPro.
Drittanbieter-Schwachstellen
Neben den internen Schwachstellen werden auch solche behoben, die von Drittanbieter-Bibliotheken herrühren. Beispiele hierfür sind:
- CVE-2023-4863: Eine Heap-Pufferüberlauf-Schwachstelle in
libwebp. - CVE-2023-1183: Eine Schwachstelle für das Schreiben beliebiger Dateien in
hsqldb. - CVE-2021-43527: Speicherbeschädigung durch DER-kodierte DSA- und RSA-PSS-Signaturen.
- CVE-2014-0160: TLS-Heartbeat-Leseüberlauf (Heartbleed-Vorgänger).
- CVE-2013-1752 & CVE-2013-4238: Mehrere Python-Schwachstellen.
Wichtig ist, dass einige als “Fixed in all versions” markierte Schwachstellen wie CVE-2021-44228 (Log4j RCE) oder CVE-2018-14939 (realpath overflow) keine direkten Fehler in LibreOffice selbst darstellen, sondern auf externe Bibliotheken oder Systeme hinweisen, die von LibreOffice genutzt werden könnten, jedoch keine betroffenen Versionen der Suite haben.
Fazit und Ausblick
Die kontinuierliche Veröffentlichung von Sicherheitsupdates für LibreOffice unterstreicht das Engagement des Projekts für die Sicherheit seiner Nutzer. Durch das sorgfältige Patchen von Schwachstellen wird sichergestellt, dass LibreOffice eine sichere und zuverlässige Alternative zu proprietärer Software bleibt. Nutzer werden dringend ermutigt, ihre LibreOffice-Installation auf dem neuesten Stand zu halten, um von diesen wichtigen Sicherheitsverbesserungen zu profitieren. Die transparente Auflistung der CVEs auf der Website von LibreOffice bietet detaillierte Informationen für technisch Interessierte und Sicherheitsexperten.