Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Erster Security-Bug in Lotus 1-2-3 seit 30 Jahren

IT-Boomer, die mit dem Linux-Port der einstmals marktführenden Tabellenkalkulation arbeiten, sollten zügig updaten, es droht ein 32 Jahre alter Buffer Overflow.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Bitcoin,And,Cryptocurrency,Cybersecurity,Concept,With,Hacker,Behind,The,Unsecured,Diebstahl,Hack,Thief,

(Bild: Tavis Ormandy)

Lesezeit: 2 Min.
Security
Von

Der Name "Lotus" weckt bei Computernutzern, die seit den späten Achtzigern aktiv sind, verschiedene Assoziationen. Die Groupware Lotus Notes – mittlerweile nach der zweiten Übername HCL Notes – ist Jüngeren vielleicht noch geläufig, für "Lotus 1-2-3" muss man jedoch etwas tiefer in den verdrängten DOS-Erinnerungen graben. Tatsächlich war die Tabellenkalkulation in den achtziger Jahren populärer als Excel, das nach seiner Markteinführung für den IBM-PC dem Konkurrenten jedoch rasch den Rang ablief.

Der Sicherheitsexperte Tavis Ormandy, in der Community als prominenter Mitarbeiter von Googles Project Zero bekannt, postete einen Hinweis auf einen Buffer Overflow in Lotus 1-2-3 für Unix/Linux in der Mailingliste Full Disclosure. Entdeckt und gemeldet hatte den Bug jedoch Dan Bastone; er wird ausgelöst, sobald ein Nutzer ein speziell präpariertes 1-2-3-Worksheet öffnet und kann zur Ausführung beliebigen Codes führen.

Neu belebte Abandonware

Warum ein Google-Mitarbeiter Sicherheitslücken in 30 Jahre alter Abandonware meldet, fragt sich der geneigte Leser? Nun, weil ebenjener Tavis Ormandy besagte Abandonware im Rahmen eines Hobbyprojekts auf Linux portiert hat. In einem Blog-Posting erzählt Ormandy, wie er in einem BBS eine Raubkopie der Unix-Version R3 ergattert und diese – in typischer Taviso-Manier – unter Linux zurechtgehackt hat. Einem Betriebssystem, das zum Release-Zeitpunkt von Lotus 1-2-3 R3 noch gar nicht veröffentlicht war. Der Mensch braucht schließlich ein Hobby. Und die Community der 1-2-3-Enthusiasten erlebt in den Github-Issues zum Projekt eine nie dagewesene Renaissance.

Es mag einigen, denen Ormandy schon Security-Bugs um die Ohren gehauen hat (und das sind ganz schön viele), eine gewisse Genugtuung geben, dass der Star-Hacker diesmal auf der Empfängerseite Erfahrungen sammeln musste. Doch Ormandy schlug sich wacker: Security Advisory und Patch gab es innerhalb weniger Tage; es fehlen jedoch noch CVE-Nummer und CVSS-Rating ;)

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten