Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Hacker probeert exploitcode voor Excel te veilen

Hacker probeert exploitcode voor Excel te veilen

Door Arie Jan Stapel, zaterdag 10 december 2005 22:05
Bron: eWeek, submitter: A_L, views: 24.221

Vorige week heeft een computerdeskundige op een wel heel originele wijze een waarschuwing gegeven voor een beveiligingslek in Microsoft Excel: hij zette het te koop op eBay. De onbekende verkoper, die schuilging achter de naam 'fearwall', bepaalde de startprijs op 1 dollarcent. Voor dit bedrag zou de koper twee .xls files krijgen, een normale en een versie van hetzelfde document waar code in zat om het lek te demonstreren. De demonstratie bestond er uit dat Excel crashte bij het openen van de file, maar de deskundige waarschuwde dat er willekeurige code mee uitgevoerd kon worden, zodat er veel schadelijker dingen mee gedaan konden worden. Toen eBay na overleg met Microsoft besloot de veiling te verwijderen waren er al 19 biedingen gedaan en stond de prijs op 53 dollar. Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.

eBay Logo KleinBij het aanprijzen van het artikel dreef de verkoper openlijk de spot met Microsoft. Bij de beschrijving stond: 'Er kan worden aangenomen dat er de eerste paar maanden nog geen patch beschikbaar zal zijn om het lek te dichten', een sneer naar de vaak lange tijd die MS nodig heeft om patches voor beveiligingslekken uit te brengen. Medewerkers van Microsoft konden tien procent korting krijgen. Volgens de verkoper zou de opbrengst van de veiling worden gedoneerd aan diverse open-source projecten.

Volgende 00:17 Amerikaanse luchtmacht gaat cyberspace verdedigen
Vorige 21:26 Ecma begint ontwikkeling Open XML-standaard
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 52 reacties zichtbaar520 Off-topic / Irrelevant: 48 reacties zichtbaar48+1 On-topic: 32 reacties zichtbaar32+2 Informatief: 12 reacties zichtbaar12+3 Spotlight: 2 reacties zichtbaar2
«  1  2  3  »

Door Reda, zaterdag 10 december 2005 22:09

Score: 0
Het is in ieder geval een actie dat mensen en vooral het grote software ontwikkelaar bedrijf microsoft aan het denken zet.

Alleen kon deze man hier misschien meer aan verdient hebben door gewoon deze exploid te melden bij microsoft.

Door Erik1, zaterdag 10 december 2005 22:11

Score: 1
Denk het niet ;)
Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.
Was dus al bekend maar gewoon nog geen oplossing voor.

Door ironx, zondag 11 december 2005 00:20

Score: 0
Je zou het ook kunnen interpreteren als:

Het was (al lang) bekend bij Microsoft, maar deze heeft er gewoon (tot nu toe totaal nog) niets aan gedaan *omdat* er nog geen pogingen gesignaleerd waren om er gebruik van te maken.

Oftewel: er moeten eerst echt 'ongelukken' gebeuren wil Microsoft er iets aan gaan doen?

No flame of iets dergelijks, maar het ligt er dus net aan hoe je het wilt opvatten.

Door Gepetto, zondag 11 december 2005 11:51

Score: 1
De demonstratie bestond er uit dat Excel crashte bij het openen van de file, maar de deskundige waarschuwde dat er willekeurige code mee uitgevoerd kon worden, zodat er veel schadelijker dingen mee gedaan konden worden.
En wie zegt dat dat ook zo is? Iedereen heeft wel eens een word of excel documentje waarop het programma vastloopt omdat er bv een bepaalde tekenreeks in voorkomt, maar om dan gelijk te roepen dat je dit kan misbruiken om schadelijke code uit te voeren...

Als die meneer Fearwall een beetje ballen had gehad, dan had hij gelijk na het verwijderen van de advertentie een code moeten plaatsen hoe dit lek werkelijk misbruikt zou kunnen worden, maar ik vermoed eerder dat hij maar een spelletje blufpoker speelt.

Door n4m3l355, zondag 11 december 2005 14:19

Score: 0
& volgens MS waren er nog geen pogingen gesignaleerd. net zoals MS soms bugs (of features) negeert omdat die 'niet bestaan'. iets wat MS claimed hoeft nog niet noodzakelijk waar te zijn. Tevens mogen zij wel zeggen dat het niet gebruikt wordt maar de realiteit zou wel eens anders kunnen zijn.
Het zou mij niet verbazen als de code nu ergens op usenet verschijnt en zal MS er hopelijk snel alsnog iets aan doen. Imo wordt heto ook eens tijd dat MS verantwoordelijk wordt voor het laks omgaan met potentiele fouten. Dat een stuk software fouten bevat is een ding maar er laks mee omgaan/laks code is een ander verhaal. Je zult als bedrijf zijnde maar eens schade oplopen of de talloze uren/dagen die verloren gaan door crashen of whatsoever... aanschaf van MS's software is 1 ding.. onderhoud is nog een kostenpost, maar tijds-verlies is zeker ook wel iets wat in acht genomen kan worden.

Door alex3305, zaterdag 10 december 2005 22:12

Score: 0
Volgens MS bestond het lek inderdaad,
Tjah dit slaat dan weer nergens op ! Je weet dat het lek bestaat maar omdat niemand het nog heeft ontdekt wordt het ook niet gedicht.. Is dit niet een beetje achter de feiten aanlopen. Moet je voorstellen wat er gebeurd zou zijn als in een keer een boel xls bestanden geinfecteerd zouden zijn door een virus.. Naja voor zover: Microsoft bedankt voor de goede service !

Door webfreakz.nl, zondag 11 december 2005 11:30

Score: 0
Als nog niemand het heeft ontdekt, hoe weet MS dan van het bestaan af? :7

Volgens mij wordt aan alle werknemers (lees: programmeurs) van MS, smeergeld betaald ofzo. Die gasten kennen ongelooflijk veel bugs in de MS producten! Stel dat ze allemaal 1 bug 'doorvertellen'.... wat een chaos wordt het dan.....

way to go microsoft! 8-)

Door PWM, zondag 11 december 2005 20:40

Score: 1
Lezen Alex!

Er staat dat Microsoft eerdern geen kwaadaardige code heeft gevonden voor deze bug. Niet dat ze er niets aan doen!

Volgens mij was het Firefox van de week met een lek waar ze geen plannen hadden voor het dichten. Of is het Apple die een SP uitbrengt met 80 fixes voor lekken die niet openbaar waren gemaakt, maar al heel lang in het product zaten.

Dat is normaal. Je gaat toch geen lekken prijsgeven?

Wat wil je dan? Dat MS eerst even de code voor de Exploit op hun eigen website zetten, voordat ze een fix afhebben? Denk je dat een fix in een uurtje gemaakt is? Zoiets kan lang duren, en moet ook getest worden. Het moet gebeuren door een paar man. Al heeft MS veel programmeurs, je kan er geen 5000 op 1 lek zetten. Simpelweg omdat dat niet werkt.

MS heeft dus NERGENS gezegd dat ze geen fix gaat maken.

Door 41738952, zaterdag 10 december 2005 22:18

Score: 0
Dus het was al bekend bij microsoft maar ze gaan het niet fixen, omdat er nog geen gebruik werd gemaakt van het lek?

Lijkt me juist dat je het wil gaan fixen voordat iemand er gebruik van maakt.
offtopic:
Gaan we hier verder bieden? ik bied 54 dollar! :+

Door Matthijs Hoekstra, zaterdag 10 december 2005 23:03

Score: 2
Nee natuurlijk niet. Alleen een fix schrijven en testen voor alle nog ondersteunde office versies in alle talen op alle platformen in alle talen is ENORM veel werk en dat kost tijd. Is exact hetzelfde verhaal met IE. Er worden echt wel fixen geschreven, alleen is de test cycle erg complex en daardoor duurt het soms lang. Bij voorkeur veeg je dan een hoop fixes op 1 hoop zodat de cycle econimischer is.

Door Shaman, zondag 11 december 2005 09:41

Score: 1
Als het lek in álle versies en bij álle talen aanwezig is lijkt het me dat het een lek is in een gezamelijk gebruikte class of api. Hoe moeilijk moet het zijn dat te fixen. Je hoeft dus alleen een update uit te brengen van die class/api.

Door Matthijs Hoekstra, zondag 11 december 2005 11:23

Score: 0
Zoals ik al zei is het fixen zelf niet altijd moeilijk maar ALLES weer testen om zeker te zijn dat er iets anders niet omvalt. dat is HEEL VEEL werk. Dat schijnt men maar niet te willen begrijpen. Effe fixen bestaat niet als je miljoenen klanten op veel verschillende platformen met heeel veel verschillende applicaties moet ondersteunen. Dat is gigantisch complex.

Door arjankoole, zondag 11 december 2005 13:30

Score: 1
dat is HEEL VEEL werk.
Dat is geen argument. Je bent als software producent verplicht aan je klanten ze een beetje waar voor hun geld te geven, het oplossen van security issues is een voorbeeld van goede ondersteuning bieden. Als ze het teveel werk vinden moeten ze in een andere branche gaan zitten, niet in de branche waar ze nu zitten.

Ik dacht overigens dat Microsoft het eens was met het principe wat ik hier net wegtik, daar was toch dat hele 'trusted computing' verhaal van hun voor in het leven geroepen? Of was dat alleen een loze marketing term?

Door _Eduard_, zaterdag 10 december 2005 22:22

Score: 1
* 786562 _Eduard_

Door redoctober, zaterdag 10 december 2005 22:23

Score: 2
Blijkbaar heeft Microsoft geen prioriteit om dit soort lekken te dichten, ze verdienen er niets mee en ze hebben toch geen echte concurenten. Als microsoft er zelf niets aan doet moet je het maar in de openbaarheid brengen. Alleen een beetje jammer dat alleen de gehackte consument er de dupe van kan worden en niet microsoft zelf. Eigenlijk zou je microsoft moeten kunnen aanklagen als ze kennis van een lek hebben en hier niets tegen ondernemen. (teminste niet in de eerste paar maanden dan )

Door Green.Velvet|IA, zondag 11 december 2005 14:24

Score: 1
Welke lekken vinden ze bij MS eigelijk wel belangrijk ?

Bij zowat elke kritieke lek die de laatste maanden bekend raakte was de reactie van MS dat ze de fout al langer kenden maar hem niet belangrijk vonden.

Door TeRRoRiTe, zaterdag 10 december 2005 22:25

Score: 1
Hoeveel zal Microsoft aan eBay betaald hebben om dat item te verwijderen? :o

Door Matias, zaterdag 10 december 2005 23:12

Score: 1
Als ik een naaktfoto van je vrouw verkoop op ebay neem ik aan dat je niet hoeft te betalen om m er af te krijgen? B)

Door praseodymium, zaterdag 10 december 2005 23:23

Score: 1
Nee, want die wil toch niemand hebben.....

Door -Emiel-, zaterdag 10 december 2005 22:27

Score: 2
Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.
Haha ze wisten het dus, dat durf ik te betwijfelen..Maar goed al wisten ze het wel dan vind ik het alsnog ongelovelijk LAKS dat er nog niet iets aangedaan was.
Dat er nog geen pogingen zijn gesignaleerd zegt niets, je moet het lekker, imo, als je weet dat het er is, gelijk dichten. Nog geen poging tot, nee, maar in dit wereldje gaat het zo hard, waar je vandaag spreekt van nog geen poging tot, kan er morgen al iets rondgaan dat hard gebruikt maakt van dit lek. Ik vind hun afwachtende houding niet acceptabel.


Het woord hacker geeft een beetje negatief tintje aan het geheel..maar goed, kan aan mij liggen.

Door Erik1, zaterdag 10 december 2005 22:37

Score: 1
Voor niet Engelstalige mensen zijn spam en virusmailtjes er inderdaad goed uit te plukken, als je wel Engelstalig bent en daarnaast al niet zo'n PC wonder bent dan is het wel een stuk moeilijker.

Door AxiMaxi, zaterdag 10 december 2005 22:38

Score: 0
Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.
Klinkt een beetje als "wij hebben uw klacht nog niet eerder gehoord, dus doen er niks aan." (hoe wáár of terecht de klacht ook is)

Door saf4, zaterdag 10 december 2005 22:47

Score: 2
Slim idee moet ik toegeven :), wat ik nog beter vind is dat het geld naar open-source projecten gaat. Ik vraag me alleen af of dat ebay straks de nieuwe manier gaat worden om gevonden exploits door te geven, menig persoon die deze methode vindt kan er zo geld mee verdienen.

Door Gepetto, zondag 11 december 2005 11:57

Score: 2
Ik denk inderdaad dat ze in Redmond zitten te sidderen van angst nu ze horen dat er alweer 53 euro naar een open source prohject gaat. :z
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 00:17 Amerikaanse luchtmacht gaat cyberspace verdedigen
Vorige 21:26 Ecma begint ontwikkeling Open XML-standaard
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011