Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: Guninski.com

Georgi Guninski - vooral bekend van het zoeken naar bugs in Microsoft-producten - is laatst aan de slag geweest met Office XP. In een artikel op zijn website is hij echter niet zo positief over Microsoft's nieuwste office-suite. "Hoe meer geld ik aan Microsoft geef, hoe kwetsbaarder mijn Windows-computer wordt", aldus de bugjager. Reden voor deze uitlating is, zoals al wel te verwachten was, een security-fout in Office XP.

Het probleem deed zich voor op een Windows 2000 computer, met Internet Explorer 5.5 (laatste versie) en Office XP geďnstalleerd. Als een bepaalde speciaal voor dit doel ontworpen HTML-pagina geladen wordt in Internet Explorer of via Outlook XP, dan kunnen allerlei ActiveX-commando's uitgevoerd worden. Het gevolg kan zijn, dat een kwaadwillende persoon volledige toegang tot het systeem krijgt.

De zondebok moet gezocht worden bij Microsoft Outlook View Control, een ActiveX-control. Dit onderdeel dat door Outlook XP geďnstalleerd wordt, geeft onder andere toegang tot de e-mailberichten op de computer van het slachtoffer, alsmede de mogelijkheid tot het uitvoeren van elk willekeurig programma. Guninski heeft zelf een script gemaakt, dat een demonstratie is van de beveiligingsfout. Om dit te gebruiken moet je echter wel minstens één bericht in je Outlook XP mailbox hebben staan.

Outlook
Moderatie-faq Wijzig weergave

Reacties (72)

LETOP

zoek in je registry naar deze key:

0006F063-0000-0000-C000-000000000046

verander deze naar iets anders
bijvoorbeeld

2226F263-2222-2222-C222-222222222246

en het werkt nietmeer..

of delete de volgende file
officeinstalldir\Office10\OUTLCTL.DLL

behoorlijk Verneukende bug..
je kan namenlijk ook zo
CMD.EXE met Delete *.* /s -y
aanroepen
\[off-topic]
Ik weet een superoplossing voor dit probleem:
PINE4.33 :) onder linux en windows verkrijgbaar. Daar is het dus absoluut niet mogelijk om een scrippie te starten :+ En het als je een vaste verbinding hebt met internet kun je via telnet of SSH overal op de wereld je email lezen.
[/offtopic]

Het probleem met programma's van microsoft is dat het een verzameling van objecten is en die worden aan elkaar gekit. die objecten hebben meer mogelijkheden dan worden gebruikt in het programma zodat ze later in andere programma's exact het zelfde kunnen gebruiken.
Het domste wat microsoft heeft kunnen doen is activeX componenten in windows te intergreren. Dit zijn gewoon programma's die alle rechten hebben om van alles te wijzigen (zeker de oude windows kennen geen gebruikersbeheer). Hier zie je weer de laatste variant van programma's die ongewilde acties kunnen uitvoeren.
Het domste wat microsoft heeft kunnen doen is activeX componenten in windows te intergreren. Dit zijn gewoon programma's die alle rechten hebben om van alles te wijzigen
Het is op zich zeker niet dom geweest activex te introduceren in Windows, biedt een hoop voordelen, en dat merk je ook aan een hoop software die er uitkomt (integratie == gebruiksgemak). Het was wel vrij dom vind ik om dit in webpagina's toe te staan. Of op z'n minst dat ze activex op een webpagina dezelfde rechten geven als activex wat gebruikt wordt binnen een programma.

Maar (ook) ik verbaas me er wel een beetje over dat er weer zo'n bug gevonden wordt. Je zou toch idd. wel verwachten dat MS outlook (express) 10 keer zo goed zouden testen, gezien de history met bugs die gevonden zijn. Al is het maar om die meneer Guninski en de negatieve publiciteit voor te zijn, je weet toch wel zeker dat hij ieder bitje gaat omdraaien om maar een bug te vinden.
Daar heb je zeker gelijk in, maar laten we de VB-scripts en -in behoorlijk mindere mate- de JavaScripts niet vergeten! Als we het over veiligheidsgaten hebben, weet ik er daarmee nog wel een paar.

Ik begrijp niet waarom MS niet leert van het gelazer met VBScipt onder oudere Outlook versies en die meuk nou voor de verandering eens standaard uit zet...

Maar Microsofts policy is nu eenmaal: we zetten alles standaard aan, dan hoeft niemand naar de "aan"-knop te zoeken. Ons probleem is: de "uit"-knop zit daarnaast en is vaak navenant moeilijk te vinden... :)
aarghh, ik vraag me toch zo langzamerhand af waarom de makers van dit produkt dit soort bugs niet kunnen voorkomen. Je ziet dat bij elk e-mail programma van MS dit soort fouten zijn gemaakt. En dan nu weer bij het nieuwste produkt :? ik snap het gewoon niet.
Iedereen doet net of alle MS producten vol met dit soort bugs zitten. Die Guninski echter doet niks anders dan bugs zoeken in MS producten. Eens in de zoveel tijd vindt ie dan eens een grote bug, en dan staat iedereen weer op zn achterste poten, zo van 'Jaja, het is weer raak bij M$'. Dit terwijl het best meevalt met de bugs, alleen omdat het van MS is wordt het dan weer opgeblazen.

Dat is dus echt bull. Als hij deze bug niet gevonden had, was niemand erachter gekomen en was er verder ook niks gebeurd.
valt wel mee? er worden voortdurend meer of minder ernstige veiligheids bugs in MS
software gevonden (en dan laat ik andere bugs buiten beschouwing)

"niks gebeurd" als die GG het niet had gevonden?
"niks" als in "geen patch"? Fraai zou dat zijn. Maar lijkt me stug; het is een ernstige bug en dat trekt nu eenmaal de aandacht, wie het ook vindt.

-
Ik vind van niet. Bij alle platformen wordt er op bugs gejaagd, en bij Microsoft is het wel erg vaak raak. :(
Bij microsoft is het misschien wel vaker raak dan bij andere platforms, maar als er bij microsoft een bug word gevonden word het ook wel met veel tam tam gepresenteerd.

De invloed van de media mag je imho dus ook niet uitwissen.
Het lijkt me ook dat dit best wel met tam-tam gepresenteerd mag worden.
De meest vurnerable users draaien namelijk Windows en eventueel Outlook (ik bedoel dus de gebruikers die NIET veel van computers weten en dus ook niet aware zijn van dit soort bugs).

Oftewel, het is niet zo verkeerd dat het met tam-tam gepresenteerd wordt, dan komt het nieuws misschien ook nog terecht bij de 'normale' gebruiker.
Bij MS wordt relatief goed gezocht. Een heel groot gedeelte van de bug-zoekers en hackers zijn erg tuk op MS.

Kijk maar eens op dit forum en zie hoeveel mensen een pesthekel aam MS hebben.

Dus relatief veel mensen in een enorm grote communitie geeft dus ook een enorme hoeveelheid resultaat.

Plus veel tam tam als er weer eens iets gevonden wordt en bingo MS suckZ wordt en dan gescjreewd.

Begrijp me goed is ben er ook voor dat programmas zo wordengemaat dat het niet op kan treden maar programmeren is nu ook een vak waar onder druk van de time-to-market veel ommisies op worden gedaan.
Bij windows is er gekozen voor gebruiksvriendelijkheid dus als je voor dit systeem kiest maak je zelf de keuze je kan ook linux of freebsd installeren maar dit is veel ingewikkelder omdat er geen wizards, koppelingen e.d. inzitten deze vergemakkelijken het werk wel maar veroorzaken ook veel security holes
linux is out of the box ook harstikke gatenkaas.. alleen hoor je daar nooit wat over omdat linux zo cool is... iedereen gebruikt ms outlook dus vind je ook eerder bugs cq exploits. maar al zou iedereen bijv pegasus gaan gebruiken zouden daar weer exploits voor verschijnen
Je vergelijkt een operating system met een email applicatie? :?
Maar die opmerking raakt sowieso kant noch wal. Als je een oude distro installeert waar bekende vulnerabilities inzitten, dan weet je wat je kan verwachten. Nieuwere distro's die niet standaard allerlei services aanzetten, met automatische security updates etc. zijn nog niet zo gatenkaas als jij blijkbaar denkt.
hmmm dit is idd een behoorlijk grote bug jah :(
om eerlijk te zijn begin ik er aan te twijfelen om XP eraf te gooien en te w88 tot M$ met een patch hiervoor komt want dit is wel een erg open deur natuurlijk :(

verder weet ik alleen niet of het wel een goed idee is om z'n script dan maar meteen online te gooien.. beetje persoon kan dan zo dat ding gebruiken, aanpassen en veel schadelijker maken lijkt me :(
In principe is dat gewoon een manier om MS te dwingen snel een patch uit te brengen. Iets wat ik persoonlijk overigens niet verkeerd vind.

Microsoft moet maar eens leren van deze fout, ze hebben nu al vaak de kans gehad, vele ActiveX-bugs en exploits werden gepubliceerd en nu sturen ze zichzelf weer het bos in met deze fout wat voor een bedrijf dat zoveel geld heeft en zoveel medewerkers en kennis gewoonweg onacceptabel is.
Ach, waarom disable je dan gewoon de ActiveX-components niet, in je Security Settings? Ben je d'r ook vanaf...
aangezien ik ActiveX uit heb staan, werkt die script niet :) :) :) :) :) :) :)

maar ja, als je in Windows/IE/Office alle (inter)net(werk)-features uitzet, dan ben je ook best veilig... maar ja, dat is met alles zo...


DD
Uiteraard een groot security leak, maar niet in Outlook 2002 specifiek, maar in een Active X control, wat net zo makkelijk misbruikt kan worden bij Outlook 2000, 98 etc.... Alleen bij XP is het control by default geinstalleerd...

Voor Outlook 2000,98 gebruikers (dus zonder het Outlook View Control Active X) gewoon op letten dat je je niet laat verleiden tot het downloaden van het Active X control.

Voor Outlook 2002 gebruikers, het Active X control van je systeem verwijderen...
Hoe kun je die Active X control de-installen in Office XP? Ik snap wel dat dat bij Ad/Remove Programs kan, maar waar staat die shit?
Jij bent zeker geen programmeur!?

OfficeXP is zó vreselijk groot en heeft zó vreselijk veel regels code (neem ik aan ;) ) en wordt met zoveel mensen aan gewerkt dat het onmogelijk is om elke fout eruit te halen.

Er is niet één programma van die omvang zonder weet-ik-het-hoeveel bugs erin.
Wordt alleen weer 'vergeten' te vermelden dat ActiveX controls _DEFAULT_ disabled staan in OutlookXP, en iemand die er dus last van heeft dit _BEWUST_ heeft aangezet. Oftewel, dit is weer een standaard flame om MS af te kraken.
Zeg er dan eens bij hoe je die ActiveX controls uitzet.

Want ik weet dat ik in elk geval die controls hier niet op elke PC op 't bedrijf heb aangezet en de bug "werkt" wel op elke PC, dus ik vermoed dat die ActiveX controls default wel aanstaan.

Maw: Hoe zet je die uit, want ik vind dat niet direct terug in de Outlook settings...

Edit: typo's...
Ik ga ervan uit dat dat in IE moet gebeuren (tools --> internet options --> security --> custom level)
Klopt, zet gewoon alles op Disabled (of desnoods Prompt), en je bent van het probleem af.

Overigens staat hij daar vaak al op, dus is er überhaupt niet eens een probleem.
Die ActiveX controls staan standaard wel aan, want Microsoft wil er zelf natuurlijk ook graag gebruik van maken.

Oftewel, als ze het standaard uit zouden zetten, zouden alle mensen die niet zoveel verstand hebben van computers het ook niet AAN zetten, en lopen ze een groot deel van hun markt mis kwa gebruik van ActiveX.
ActiveX is bedoeld voor andere zaken dan email. En in XP staan ze dus standaard uit (voor email). In 2000 waarschijnlijk niet trouwens. Maargoed.

In Outlook: Tools > Options > Security Tab, Zone Settings, Custom Level: ActiveX Controls and Plug-ins. (Edit: Dit is dus NIET hetzelfde als diezeflde settings in IE! Je kan ActiveX dus in IE aanzetten, en in Outlook uit.)
Hmm, even gechecked hier met Outlook 2000, en daar staan ze standaard ook disabled
Idd een echte 'bug' dus. Standaard staat het uit, en aangezien het behoorlijk diep weggestopt zit, moet iemand het dus bewust en waarschijnlijk met goede reden aanzetten. Deze weet dan ook (hopelijk) de mogelijke risico's van onbekende ActiveX controls.

Oftewel, het bekende verhaal van hoe kan ik een feature zo uitbuiten dat halve wereld ervan over de zeik gaat en het een bug gaat noemen.
tuurlijk zie je dat goed, en dat zal ook best gedaan zijn, maar Georgi Guninski is ook niet zomaar iemand, ik bedoel, hij vind wat anderen over t hoofd zien.

M$ zal natuurlijk niet de kwaliteit ten koste willen laten aan wat dan ook. Daarom zijn er ook beta's naar de betatesters gestuurd om de kwaliteit op te kricken.

Maar bug's zullen blijven bestaan omdat er ook steeds nieuwere/geavanceerdere opties komen/zijn zoals activeX, denk bijvoorbeeld ook aan de password mailer van t.net, daar waren ook niet alle opties helemaal bekend (NO flame intended) als ik t me goed herinnner

[(don't get me wrong, i'm NOT a BIG fan of microsoft)]
M$ zal natuurlijk niet de kwaliteit ten koste willen laten aan wat dan ook. Daarom zijn er ook beta's naar de betatesters gestuurd om de kwaliteit op te kricken.

Een goed programma begint bij een goed ontwerp, gestructureerde code etc. Het testen met behulp van beta-versies is slechts een van de laatste fasen in het test-proces.
Of dit ook het geval is, is moeilijk te bepalen aangezien de M$ code niet open-source is.
Solution:
Uninstall Office XP and Windows.
Lachen met die Guninski :)
Artcore Trooper, ik ben het niet met je eens.. Tot nu toe is het kommer en kwel met de email produkten van Microsoft. Wij, de Universiteit van Amsterdam, werken, noodgedwongen, met Outlook, maar ik ben er zeer ontevreden over. Natuurlijk ligt Microsoft altijd eerder en meer onder vuur dan andere bedrijven, maar de fouten die tot nu toe in voornamelijk Outlook zijn gevonden kunnen echt niet.

Roeland

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True