Microsoft waarschuwt voor veiligheidslek in Word

C|Net waarschuwt voor een beveiligingsaangelegenheid in Microsoft Word, waarbij het voornamelijk om Word 97 gaat. Via het "includetext"-veld kan een kwaadwillende persoon het voor elkaar krijgen om bestanden van een computer af te halen. Dit gaat echter niet zomaar; de ontvanger zal het documenten moeten openen, er iets aan aanpassen, het opslaan en vervolgens weer terugsturen. In het geval van Word 2000 en 2002 zal het slachtoffer het document tussentijds ook nog moeten printen, zodat het probleem bij die versies nog iets kleiner is. De enige manier om je te weren tegen het betreffende veld is goed op te letten dat er niets speciaals vermeld staat bij de eigenschappen (bestand/eigenschappen, file/properties) van het document:

Viruswaarschuwing"The Microsoft Security Response Center is thoroughly investigating this issue, just as we do every report we receive of security vulnerabilities affecting Microsoft products," the spokesman wrote in an e-mail statement. "When the investigation is completed, we will take the action that best serves Microsoft's customers." Details of the flaw were first published on Aug. 26 to the popular Bugtraq security list, a service hosted by SecurityFocus, a subsidiary of Symantec.

Met dank aan Verwijderd voor de tip.

Door Mark Timmer

Feedback • 14-09-2002 11:58
36 • submitter: leon1e

14-09-2002 • 11:58

36

Submitter: leon1e

Bron: C|Net

Lees meer

Orange en Microsoft onderzoeken mogelijk telefoonvirus
Orange en Microsoft onderzoeken mogelijk telefoonvirus Nieuws van 15 januari 2003
Slechts 20% van Chinese computers virusvrij
Slechts 20% van Chinese computers virusvrij Nieuws van 11 oktober 2002
Software

Reacties (36)

-Moderatie-faq
36
31
16
6
0
3
Wijzig sortering
Fatamorgana 14 september 2002 12:11
Ik vind het altijd lachwekkend dat er zelfs beveiligingslekken in tekstverwerkers zitten. Als ik een document maak, dan gebruik ik alleen lettertypen, bold, italic etc, paginanummering en nog wat andere opmaak functies. Al die programmeer-functionaliteit die ze er ingooien heeft haast niemand nodig.

Ze maken van de tekstverwerkers een soort multimedia-pakket met functionaliteit waar denk ik 99% van de gebruikers nooit gebruik van maakt. Dus gooi alle overbodige toeters en bellen er uit en je hebt een klein, snel, goedkoper pakket waar geen security leaks in kunnen zitten.
Verwijderd @Fatamorgana14 september 2002 12:46
Ga jij maar lekker wordpad gebruiken dan, maar ga niet zeggen dat er onnodige features erin worden gegooid en dat die niet gebruikt worden want dat is dus NIET zo...
Verwijderd @Fatamorgana14 september 2002 13:07
Mmmm, alternatieven:

http://www.openoffice.org/
of http://wwws.sun.com/software/star/
of http://www.abisource.com/download/
of http://www.wordperfect.com/

Jammer dat M$ het .doc formaat zo ingewikkeld mogelijk, en closed source houdt. Eigenlijk zou de overheid opendocument formaat moeten verplichten, zeker voor commonfiles. Belachelijk imho dat zoiets fundamenteels als informatieuitwisseling gehinderd wordt door microsoft. Jaren zijn er nodig geweest voordat filters echt redelijk naar behoren werken. http://openoffice.org/ ben ik erg tevreden over.

De laatste update van openoffice is van 12 september
http://www.openoffice.org/dev_docs/source/1.0.1/index.html
Webdoc @Verwijderd14 september 2002 13:15
1) Dit is geen reply op deze post, dit is gewoon reclame voor Open Office.

2) Waarom moet er elke keer weer iemand aan komen zetten met dit soort links zo gauwe er weer eens een post over Microsoft is?

3) Waarom denk je dat MicroSoft zijn formaat proprietairy houdt? Zou het wellicht iets te maken hebben met het feit dat ze *winst* willen maken een een bedrijf zijn dat hun software graag liever niet voorbijgekopeerd wil zien? Just a guess...
Verwijderd @Webdoc14 september 2002 14:11
1) het is wel een antwoord op de post, alleen blijkbaar te ingewikkeld voor sommigen:
Al die programmeer- functionaliteit die ze er ingooien heeft haast niemand nodig.Ze maken van de tekstverwerkers een soort multimedia-pakket met functionaliteit.Dus gooi alle overbodige toeters en bellen er uit en je hebt een klein, snel, goedkoper pakket waar geen security leaks in kunnen zitten.
Maw. Vandaar dus mijn antwoord, wel degelijk gericht op inhoud van fatamorgana's post. Hij oppert voor alternatieven voor MSword, ik geef ze.
Waarom moet er elke keer weer iemand aan komen zetten met dit soort links zo gauwe er weer eens een post over Microsoft is?
Het wordt nog veel te weinig gedaan, want 99 % van de mensen gebruikt word, terwijl er gratis alternatieven/voordeligere alternatieven zijn die beter en veiliger zijn qua wensen van de klant. Dat die niet gebruikt worden ligt aan punt 3)
3) Waarom denk je dat MicroSoft zijn formaat proprietairy houdt?
Duh, monopolieverdediging uiteraard. Het gaat om geld. Daarom zij ik ook (punt 3) dat de overheid daarop moet ingrijpen.
Verwijderd @Webdoc14 september 2002 14:16
Mijn 1e post is gewoon korte weergave van het hoe en waarom. Vervolgens kom jij mij vragen waarom het 1 en ander is. Ik schrijf het toch net op ofniet? En dat noemt men inzichtvol?
Verwijderd @Webdoc14 september 2002 14:21
dit is gewoon reclame voor Open Office
Reclame is gericht op het verhogen van de verkopen. Aangezien openoffic een niet commercieel pakket is (of wist je zelfs dat niet?) is gaat die vlieger nauwellijks op. Bovendien vertel ik alleen dat openoffice voor mij prettig is.

Daarbij geef ik meer links dan alleen openoffice, maar meerdere alternatieven. Waar ik verder geen enkele positieve opmerking bij zet. Die opmerking slaat kant noch wal.
Verwijderd @Verwijderd15 september 2002 02:19
Wat nou, "ingewikkeld en close source houdt"? Iemand die headlines leest, weet dat Office 11 xml gaat gebruiken als standaard dataformaat.
Verwijderd 14 september 2002 12:02
Ik denk wanneer iemand met kwade bedoelingen (die ken je vaak niet) je vraagt om een word document te wijzigen eventueel uitprinten om vervolgens weer terug te sturen je wel even achter je oor krapt en nadenkt waarom...

Echter goed dat ze het lek ondekt hebben, maar echt onrust zal het niet te weeg brengen denk ik.
Dreamstar @Verwijderd14 september 2002 12:03
Denk ook even aan bedrijven, die kopen niet continu de nieuwst versie, en er zullen dus een hoop bedrijven zijn die nog onder 97 draaien
PipoDeClown 14 september 2002 12:13
Dit is helemaal _geen_ beveiliginslek in de software |:( (edit: 1 smilie is wel genoeg)

Het weggeven van je root wachtwoord zou je dan ook een beveiligslek moeten noemen.

Wat het wel is is een "security-issue" en ligt compleet bij de gebruiker.
RobT @PipoDeClown14 september 2002 17:51
Als je zo stom bent je password weg te geven, hoor je geen sysadmin te zijn.

Als je bij een bedrijf werk, je wisselt een formulier uit met een ander bedrijf, dat je moet invullen, stuurt het terug, dan denk ik dat je een actie onderneemt die absoluut niet verdacht is. En dat je 't nog ff uitprint voor het terug te sturen lijkt me ook normaal, je wilt immers even snel aan je baas of medewerker(s) laten zien of zij het ermee eens zijn/er iets fouts in zien (bv je ziet vaak je eigen typefouten niet).

En daarom is het een beveiligingslek.
En daarom waarschuwt MS er zelf voor.
AaroN 14 september 2002 12:02
Dit is wel een exploit voor de echte HaxorS, dus daar hoeven we niet bang voor te zijn. Het lijkt mij niet een lek dat zeer gevaarlijk zal zijn.

Btw gebruiken de meeste mensen toch wel Word 2000 of XP.
En ze zijn er ook lekker op tijd mee (5 jaar na uitgave!!!) :+
Verwijderd 14 september 2002 17:44
Uhm.. wat dacht je van nepbedrijven die een formulier maken in word, vragen of je het even in wilt vullen en weer terugstuurd.
Kassa.
JJJ 14 september 2002 12:05
Op genoeg bedrijven wordt nog Word 97 gebruikt omdat de nieuwere versies toch weinig extra broodnodige features bieden.
memphis @JJJ14 september 2002 12:14
Ja, leuk zo'n beriggie. Word97 zal waarschijnlijk geen patch meer krijgen dus bedrijven moeten dan maar upgraden naar Office 2000/XP.

Ook een mannier van actieve reclamecampagne voor de nieuwe producten :?
Mr_Big 14 september 2002 12:28
Haha, wat een "lek". Hiervoor moet je als hacker eerst de te hacken persoon een handleiding geven voor alle handelingen. Je moet dan als te hacken persoon echt moeite gaan doen om gehackt te worden, i.p.v. andersom.
In principe komt het dan natuurlijk wel goed uit dat het lek in Word zit, kan je in dat document de handleiding meesturen... ;)
Scipionyx 14 september 2002 13:50
In het geval van Word 2000 en 2002 zal het slachtoffer het document tussentijds ook nog moeten printen, zodat het probleem bij die versies nog iets kleiner is.
Hoe ontdekken mensen dit toch.. :?
Ik sta er iedere keer weer versteld van als ze weer 's een lek vinden... :)
Verwijderd 14 september 2002 14:01
Ok dat is duidelijk: "De gebruiker moet het word document openen, iets erin zetten opslaan en terugsturen"

Aha! ik snap hem:

open wordt en type: "hier is mijn ip adres, mijn login en password, veel plezier"

opslaan en opsturen.

:D :+
Verwijderd 14 september 2002 20:32
(Goeie opmerking van JustVappy)

Maar wat ik nog ff wou benadrukken: als ik het goed en wel begrijp, zullen er bepaalde bestanden van je PC afgehaald kunnen worden wanneer deze doordat deze automatisch aan het Word document in kwestie geattacht worden. (na editing, printing etc) Je zou dus al min of meer een idee moeten hebben van pad en bestandsnaam. En de file kan maar best niet té groot zijn... ff een docje van 40K aanpassen en terugsture en oohh kijk: 50MB! :)
Dala @Verwijderd15 september 2002 13:38
je sam file is echt nie zo groot hoor... en als ze dat hebben kunne ze veel :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq