Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: C|Net, submitter: leon1e

C|Net waarschuwt voor een beveiligingsaangelegenheid in Microsoft Word, waarbij het voornamelijk om Word 97 gaat. Via het "includetext"-veld kan een kwaadwillende persoon het voor elkaar krijgen om bestanden van een computer af te halen. Dit gaat echter niet zomaar; de ontvanger zal het documenten moeten openen, er iets aan aanpassen, het opslaan en vervolgens weer terugsturen. In het geval van Word 2000 en 2002 zal het slachtoffer het document tussentijds ook nog moeten printen, zodat het probleem bij die versies nog iets kleiner is. De enige manier om je te weren tegen het betreffende veld is goed op te letten dat er niets speciaals vermeld staat bij de eigenschappen (bestand/eigenschappen, file/properties) van het document:

Viruswaarschuwing"The Microsoft Security Response Center is thoroughly investigating this issue, just as we do every report we receive of security vulnerabilities affecting Microsoft products," the spokesman wrote in an e-mail statement. "When the investigation is completed, we will take the action that best serves Microsoft's customers." Details of the flaw were first published on Aug. 26 to the popular Bugtraq security list, a service hosted by SecurityFocus, a subsidiary of Symantec.

Met dank aan Justme! voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (36)

Ik vind het altijd lachwekkend dat er zelfs beveiligingslekken in tekstverwerkers zitten. Als ik een document maak, dan gebruik ik alleen lettertypen, bold, italic etc, paginanummering en nog wat andere opmaak functies. Al die programmeer-functionaliteit die ze er ingooien heeft haast niemand nodig.

Ze maken van de tekstverwerkers een soort multimedia-pakket met functionaliteit waar denk ik 99% van de gebruikers nooit gebruik van maakt. Dus gooi alle overbodige toeters en bellen er uit en je hebt een klein, snel, goedkoper pakket waar geen security leaks in kunnen zitten.
Ga jij maar lekker wordpad gebruiken dan, maar ga niet zeggen dat er onnodige features erin worden gegooid en dat die niet gebruikt worden want dat is dus NIET zo...
Mmmm, alternatieven:

http://www.openoffice.org/
of http://wwws.sun.com/software/star/
of http://www.abisource.com/download/
of http://www.wordperfect.com/

Jammer dat M$ het .doc formaat zo ingewikkeld mogelijk, en closed source houdt. Eigenlijk zou de overheid opendocument formaat moeten verplichten, zeker voor commonfiles. Belachelijk imho dat zoiets fundamenteels als informatieuitwisseling gehinderd wordt door microsoft. Jaren zijn er nodig geweest voordat filters echt redelijk naar behoren werken. http://openoffice.org/ ben ik erg tevreden over.

De laatste update van openoffice is van 12 september
http://www.openoffice.org/dev_docs/source/1.0.1/index.html
1) Dit is geen reply op deze post, dit is gewoon reclame voor Open Office.

2) Waarom moet er elke keer weer iemand aan komen zetten met dit soort links zo gauwe er weer eens een post over Microsoft is?

3) Waarom denk je dat MicroSoft zijn formaat proprietairy houdt? Zou het wellicht iets te maken hebben met het feit dat ze *winst* willen maken een een bedrijf zijn dat hun software graag liever niet voorbijgekopeerd wil zien? Just a guess...
1) het is wel een antwoord op de post, alleen blijkbaar te ingewikkeld voor sommigen:
Al die programmeer- functionaliteit die ze er ingooien heeft haast niemand nodig.Ze maken van de tekstverwerkers een soort multimedia-pakket met functionaliteit.Dus gooi alle overbodige toeters en bellen er uit en je hebt een klein, snel, goedkoper pakket waar geen security leaks in kunnen zitten.
Maw. Vandaar dus mijn antwoord, wel degelijk gericht op inhoud van fatamorgana's post. Hij oppert voor alternatieven voor MSword, ik geef ze.
Waarom moet er elke keer weer iemand aan komen zetten met dit soort links zo gauwe er weer eens een post over Microsoft is?
Het wordt nog veel te weinig gedaan, want 99 % van de mensen gebruikt word, terwijl er gratis alternatieven/voordeligere alternatieven zijn die beter en veiliger zijn qua wensen van de klant. Dat die niet gebruikt worden ligt aan punt 3)
3) Waarom denk je dat MicroSoft zijn formaat proprietairy houdt?
Duh, monopolieverdediging uiteraard. Het gaat om geld. Daarom zij ik ook (punt 3) dat de overheid daarop moet ingrijpen.
Mijn 1e post is gewoon korte weergave van het hoe en waarom. Vervolgens kom jij mij vragen waarom het 1 en ander is. Ik schrijf het toch net op ofniet? En dat noemt men inzichtvol?
dit is gewoon reclame voor Open Office
Reclame is gericht op het verhogen van de verkopen. Aangezien openoffic een niet commercieel pakket is (of wist je zelfs dat niet?) is gaat die vlieger nauwellijks op. Bovendien vertel ik alleen dat openoffice voor mij prettig is.

Daarbij geef ik meer links dan alleen openoffice, maar meerdere alternatieven. Waar ik verder geen enkele positieve opmerking bij zet. Die opmerking slaat kant noch wal.
Wat nou, "ingewikkeld en close source houdt"? Iemand die headlines leest, weet dat Office 11 xml gaat gebruiken als standaard dataformaat.
Ik denk wanneer iemand met kwade bedoelingen (die ken je vaak niet) je vraagt om een word document te wijzigen eventueel uitprinten om vervolgens weer terug te sturen je wel even achter je oor krapt en nadenkt waarom...

Echter goed dat ze het lek ondekt hebben, maar echt onrust zal het niet te weeg brengen denk ik.
Denk ook even aan bedrijven, die kopen niet continu de nieuwst versie, en er zullen dus een hoop bedrijven zijn die nog onder 97 draaien
Dit is helemaal _geen_ beveiliginslek in de software |:( (edit: 1 smilie is wel genoeg)

Het weggeven van je root wachtwoord zou je dan ook een beveiligslek moeten noemen.

Wat het wel is is een "security-issue" en ligt compleet bij de gebruiker.
Als je zo stom bent je password weg te geven, hoor je geen sysadmin te zijn.

Als je bij een bedrijf werk, je wisselt een formulier uit met een ander bedrijf, dat je moet invullen, stuurt het terug, dan denk ik dat je een actie onderneemt die absoluut niet verdacht is. En dat je 't nog ff uitprint voor het terug te sturen lijkt me ook normaal, je wilt immers even snel aan je baas of medewerker(s) laten zien of zij het ermee eens zijn/er iets fouts in zien (bv je ziet vaak je eigen typefouten niet).

En daarom is het een beveiligingslek.
En daarom waarschuwt MS er zelf voor.
Dit is wel een exploit voor de echte HaxorS, dus daar hoeven we niet bang voor te zijn. Het lijkt mij niet een lek dat zeer gevaarlijk zal zijn.

Btw gebruiken de meeste mensen toch wel Word 2000 of XP.
En ze zijn er ook lekker op tijd mee (5 jaar na uitgave!!!) :+
Uhm.. wat dacht je van nepbedrijven die een formulier maken in word, vragen of je het even in wilt vullen en weer terugstuurd.
Kassa.
Op genoeg bedrijven wordt nog Word 97 gebruikt omdat de nieuwere versies toch weinig extra broodnodige features bieden.
Ja, leuk zo'n beriggie. Word97 zal waarschijnlijk geen patch meer krijgen dus bedrijven moeten dan maar upgraden naar Office 2000/XP.

Ook een mannier van actieve reclamecampagne voor de nieuwe producten :?
(Goeie opmerking van JustVappy)

Maar wat ik nog ff wou benadrukken: als ik het goed en wel begrijp, zullen er bepaalde bestanden van je PC afgehaald kunnen worden wanneer deze doordat deze automatisch aan het Word document in kwestie geattacht worden. (na editing, printing etc) Je zou dus al min of meer een idee moeten hebben van pad en bestandsnaam. En de file kan maar best niet té groot zijn... ff een docje van 40K aanpassen en terugsture en oohh kijk: 50MB! :)
je sam file is echt nie zo groot hoor... en als ze dat hebben kunne ze veel :)
Haha, wat een "lek". Hiervoor moet je als hacker eerst de te hacken persoon een handleiding geven voor alle handelingen. Je moet dan als te hacken persoon echt moeite gaan doen om gehackt te worden, i.p.v. andersom.
In principe komt het dan natuurlijk wel goed uit dat het lek in Word zit, kan je in dat document de handleiding meesturen... ;)
In het geval van Word 2000 en 2002 zal het slachtoffer het document tussentijds ook nog moeten printen, zodat het probleem bij die versies nog iets kleiner is.
Hoe ontdekken mensen dit toch.. :?
Ik sta er iedere keer weer versteld van als ze weer 's een lek vinden... :)
Ok dat is duidelijk: "De gebruiker moet het word document openen, iets erin zetten opslaan en terugsturen"

Aha! ik snap hem:

open wordt en type: "hier is mijn ip adres, mijn login en password, veel plezier"

opslaan en opsturen.

:D :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True