In einem Security Bulletin weist OpenOffice.org auf drei Sicherheitslücken hin, die im Zuge interner Security-Audits entdeckt worden seien. Betroffen sind Java-Applets, Makros und Dateiformate. Die Probleme existieren in den älteren (1.1.x) sowie den neueren Fassungen der Office-Suite (2.0.x). Release 2.0.3 behebt die Fehler, außerdem soll es in Kürze einen Patch für Version 1.1.5 geben.

Die Fehler sind nicht ganz ungefährlich: So ist es möglich, dass Java-Applets unter bestimmten Bedingungen aus der geschützten Umgebung, in der sie normalerweise ablaufen, "ausbrechen" und auf System-Ressourcen zugreifen, die ihnen normalerweise vorenthalten sind. Es wäre denkbar, dass sie dann Dateien ersetzen oder zerstören, private Informationen lesen oder versenden und/oder weitere Sicherheitsprobleme auslösen. Um das zu verhindern, können Anwender vorübergehend die Unterstützung von Java-Applets deaktivieren.

Das Makro-Problem könnte es einem Angreifer erlauben, Code in ein Dokument einzubetten, der beim Laden der Datei ausgeführt wird. Ohne den Anwender zu benachrichtigen, hätte das Makro mit den Rechten des gerade angemeldeten Benutzers uneingeschränkten Zugang zum kompletten System - selbst wenn die Makro-Funktion in Dokumenten ausgeschaltet ist. Auch hier droht die Manipulation oder das Löschen von Dateien sowie das Auslesen und Senden von persönlichen Informationen. Einen Workaround gibt es hierfür nicht.

Ein Fehler in der Verarbeitung von XML-Dateiformaten schließlich lässt sich ausnutzen, um mit speziell präparierten Dokumenten einen Buffer Overflow zu provozieren. Dadurch kann die OpenOffice-Anwendung abstürzen, unter Umständen lässt sich auch beliebiger Code ausführen. Auch hierfür gibt es keinen Workaround.

Laut OpenOffice.org gibt es keine bekannten Exploits. Benutzern von älteren Programmversionen als Release 2.0.2 wird jedoch "dringend empfohlen", auf Version 2.0.3 umzusteigen. (ave)