l+f: Erster Security-Bug in Lotus 1-2-3 seit 30 Jahren

l+f: Erster Security-Bug in Lotus 1-2-3 seit 30 Jahren

l+f:

Der Name „Lotus“ weckt bei Computernutzern, die seit den späten Achtzigern aktiv sind, verschiedene Assoziationen. Die Groupware Lotus Notes – mittlerweile nach der zweiten Übername HCL Notes – ist Jüngeren vielleicht noch geläufig, für „Lotus 1-2-3“ muss man jedoch etwas tiefer in den verdrängten DOS-Erinnerungen graben. Tatsächlich war die Tabellenkalkulation in den achtziger Jahren populärer als Excel, das nach seiner Markteinführung für den IBM-PC dem Konkurrenten jedoch rasch den Rang ablief.

Der Sicherheitsexperte Tavis Ormandy, in der Community als prominenter Mitarbeiter von Googles Project Zero bekannt, postete einen Hinweis auf einen Buffer Overflow in Lotus 1-2-3 für Unix/Linux in der Mailingliste Full Disclosure. Entdeckt und gemeldet hatte den Bug jedoch Dan Bastone; er wird ausgelöst, sobald ein Nutzer ein speziell präpariertes 1-2-3-Worksheet öffnet und kann zur Ausführung beliebigen Codes führen.

Warum ein Google-Mitarbeiter Sicherheitslücken in 30 Jahre alter Abandonware meldet, fragt sich der geneigte Leser? Nun, weil ebenjener Tavis Ormandy besagte Abandonware im Rahmen eines Hobbyprojekts auf Linux portiert hat. In einem Blog-Posting erzählt Ormandy, wie er in einem BBS eine Raubkopie der Unix-Version R3 ergattert und diese – in typischer Taviso-Manier – unter Linux zurechtgehackt hat. Einem Betriebssystem, das zum Release-Zeitpunkt von Lotus 1-2-3 R3 noch gar nicht veröffentlicht war. Der Mensch braucht schließlich ein Hobby. Und die Community der 1-2-3-Enthusiasten erlebt in den Github-Issues zum Projekt eine nie dagewesene Renaissance.

Es mag einigen, denen Ormandy schon Security-Bugs um die Ohren gehauen hat (und das sind ganz schön viele), eine gewisse Genugtuung geben, dass der Star-Hacker diesmal auf der Empfängerseite Erfahrungen sammeln musste. Doch Ormandy schlug sich wacker: Security Advisory und Patch gab es innerhalb weniger Tage; es fehlen jedoch noch CVE-Nummer und CVSS-Rating 😉


(ju)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert