Hacker probeert exploitcode voor Excel te veilen

Vorige week heeft een computerdeskundige op een wel heel originele wijze een waarschuwing gegeven voor een beveiligingslek in Microsoft Excel: hij zette het te koop op eBay. De onbekende verkoper, die schuilging achter de naam 'fearwall', bepaalde de startprijs op 1 dollarcent. Voor dit bedrag zou de koper twee .xls files krijgen, een normale en een versie van hetzelfde document waar code in zat om het lek te demonstreren. De demonstratie bestond er uit dat Excel crashte bij het openen van de file, maar de deskundige waarschuwde dat er willekeurige code mee uitgevoerd kon worden, zodat er veel schadelijker dingen mee gedaan konden worden. Toen eBay na overleg met Microsoft besloot de veiling te verwijderen waren er al 19 biedingen gedaan en stond de prijs op 53 dollar. Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.

eBay Logo KleinBij het aanprijzen van het artikel dreef de verkoper openlijk de spot met Microsoft. Bij de beschrijving stond: 'Er kan worden aangenomen dat er de eerste paar maanden nog geen patch beschikbaar zal zijn om het lek te dichten', een sneer naar de vaak lange tijd die MS nodig heeft om patches voor beveiligingslekken uit te brengen. Medewerkers van Microsoft konden tien procent korting krijgen. Volgens de verkoper zou de opbrengst van de veiling worden gedoneerd aan diverse open-source projecten.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

Feedback • 10-12-2005 22:05
52 • submitter: A_L

10-12-2005 • 22:05

52

Submitter: A_L

Bron: eWeek

Lees meer

'Extreem kritieke' fout bedreigt Windows XP
'Extreem kritieke' fout bedreigt Windows XP Nieuws van 28 december 2005
Software

Reacties (52)

-Moderatie-faq
52
48
32
12
2
0
Wijzig sortering
Verwijderd 11 december 2005 12:35
Denk dat het tijd gaat worden dat mensen dingen even in het juiste perspectief plaatsen wat betreft exploits en bugs in MS software.
Overigens zijn bugs en exploits helemaal niet hezelfde. en vind ik het allerminst zo dat bijvoorbeeld office "sterft van de bugs".
Een bug is een fout in de werking van de software, meestal in bepaalde omstandigheden.
Een exploit kan een bug aan voorafgaan waardoor de exploit ontstaat, maar dat hoeft niet zo te zijn!
Nogal een verschil dus.

Wat mensen altijd weer vergeten is dat elke niet-nerd zo'n beetje office gebruikt, (en windows) en dat het verschil tussen het aantal gebruikers van MS software en "de rest" al dusdanig groot is dat "exploits" vergelijken tussen de verschillende platformen al appels met peren vergelijken is.

De laatste tijd duiken er steeds meer bugs/exploits op voor firefox...gek he? is de kwaliteit dan achteruit gegaan?
Nee dus! maar de userbase is enorm toegenomen..
En nu zijn er dus A meer gebruikers die die exploits kunnen vinden en B meer potentiële slachtoffers, waardoor het misbruiken van een exploit voor bijvoorbeeld een virus schrijver een stuk interessanter is.

Die 2 redenen hierboven zijn naar mijn mening een veel grotere verklaring voor exploits/bugs in software in het algemeen dan dat de code nou zo "onveilig" is.

Overigens kan je ook bij MS een klein C) puntje toevoegen...... MS is zo groot dat er ook een riante groep MS-haters bestaat die het bedrijf gewoon willen schaden in het voordeel van een ander OS
Verwijderd 10 december 2005 22:47
Slim idee moet ik toegeven :), wat ik nog beter vind is dat het geld naar open-source projecten gaat. Ik vraag me alleen af of dat ebay straks de nieuwe manier gaat worden om gevonden exploits door te geven, menig persoon die deze methode vindt kan er zo geld mee verdienen.
Gepetto @Verwijderd11 december 2005 11:57
Ik denk inderdaad dat ze in Redmond zitten te sidderen van angst nu ze horen dat er alweer 53 euro naar een open source prohject gaat. :z
Verwijderd 10 december 2005 22:23
Blijkbaar heeft Microsoft geen prioriteit om dit soort lekken te dichten, ze verdienen er niets mee en ze hebben toch geen echte concurenten. Als microsoft er zelf niets aan doet moet je het maar in de openbaarheid brengen. Alleen een beetje jammer dat alleen de gehackte consument er de dupe van kan worden en niet microsoft zelf. Eigenlijk zou je microsoft moeten kunnen aanklagen als ze kennis van een lek hebben en hier niets tegen ondernemen. (teminste niet in de eerste paar maanden dan )
Verwijderd @Verwijderd11 december 2005 14:24
Welke lekken vinden ze bij MS eigelijk wel belangrijk ?

Bij zowat elke kritieke lek die de laatste maanden bekend raakte was de reactie van MS dat ze de fout al langer kenden maar hem niet belangrijk vonden.
henri8096 11 december 2005 00:06
O.K. daar gaan we weer . . . . een hoop mensen gaan MS afzeiken.
Een hoop andere gaan het weer zitten verdedigen.

Houdt dit gezeur nou nooit op?? :r

Of het programma nou office heet, of dat het windows heet, of dan het linux heet, of het heet mozilla, het interesseert geen moer.

Elk hedendaags programma is dermate complex dat het vrijwel onmogelijk is om het bug/exploit vrij te houden.

Mijn mening is nog altijd, slapende honden niet wakker maken.
Kortom nog geen patch ervoor, dan ook nog niet bekend maken.
Anders gaat iedere oetlul die een beetje kan hacken gelijk die zooi uitproberen.

Moraal:

Probeer een beetje begrip op te brengen in plaats van gelijk alles af te zeiken.
thegve @henri809611 december 2005 15:52
Het ergste is niet dat er bugs in zitten, dat is vervelend, maar onoverkomelijk. Waar gewerkt word vallen spaanders. Waar iedereen zit steeds meer aan lijkt te ergeren, is het feit dat Microsoft het fixen van bugs kennelijk een dusdanig lage prioriteit geeft dat ze er maanden over doen om hem te fixen. Er zijn namelijk maar een paar mogelijkheden:
Ze hebben een tekort aan kundig personeel - Lijkt me bijzonder onwaarschijnlijk, gezien het geld dat er bij MS rondgaat zouden ze daar wel in moeten kunnen investeren.
Ze vinden de "aantal bugs" statistieken belangrijker dan de "oplostijd" stats. - Mijn vermoeden
Of het interreseerd ze geen flikker. - Nog een van mijn vermoedens.
Verwijderd 10 december 2005 22:27
Volgens MS bestond het lek inderdaad, maar waren er nog geen pogingen gesignaleerd om er gebruik van te maken.
Haha ze wisten het dus, dat durf ik te betwijfelen..Maar goed al wisten ze het wel dan vind ik het alsnog ongelovelijk LAKS dat er nog niet iets aangedaan was.
Dat er nog geen pogingen zijn gesignaleerd zegt niets, je moet het lekker, imo, als je weet dat het er is, gelijk dichten. Nog geen poging tot, nee, maar in dit wereldje gaat het zo hard, waar je vandaag spreekt van nog geen poging tot, kan er morgen al iets rondgaan dat hard gebruikt maakt van dit lek. Ik vind hun afwachtende houding niet acceptabel.


Het woord hacker geeft een beetje negatief tintje aan het geheel..maar goed, kan aan mij liggen.
Verwijderd 10 december 2005 23:48
Mja aan de andere kant betaal je een flinke bom met geld voor je Windows. Er zijn mensen die behoorlijk (financieel vnml, of op een andere manier) afhankelijk zijn van het functioneren van de PC (of een klein/groot meervoud daarvan). Ik vind dat je wel kan verwachten dat Microsoft daar asap wat aan doet, als monopolist, grote organisatie met een miljardenomzet/winst. Ongeacht of er een grote buglijst is die moet worden afgewerkt, dan moet je er maar meer man achterzetten. Zo werkt het ook als het vulwerk in een Albert Heijn niet afkomt. (Min of meer dan)

Bovendien
maar de deskundige waarschuwde dat er willekeurige code mee uitgevoerd kon worden, zodat er veel schadelijker dingen mee gedaan konden worden.
Bug kan dus heel kritiek zijn! Als iemand er een gevaarlijke code in implanteerd, of hoe zeg je dat..
Ventieldopje 11 december 2005 11:41
Haahah ik zie het al voor me ... God OS ... *pling* u heeft 1 nieuwe aanbidder ! :+

Begint dan wel erg te lijken op de film Bruce Almighty :P
rogierslag 11 december 2005 12:54
Wat Microsoft doet, zo lees ik het dan, is toegeven dat ze inderdaad (mede door deze exploit) een lek in Excel hebben gevonden. Nergens wordt gezegd dat Microsoft dit lek express heeft laten zitten.

Nou zijn ze met eBay in overleg gegaan om die advertentie te verwijderen omdat die vele mensen zou kunnen schaden. eBay gaat met dat argument akkoord.

Microsoft heeft nu dus het lek erkend. Als het echt zo kritisch is zal er binnenkort wel een patch beschikbaar komen.

En als (herhaal als) Microsoft wist dat het lek bestond is het helemaal niet vreemd om zelfs een kritiek lek niet onmiddelijk te patchen. Check voor de grap maar eens buglijsten van Firefox, php etc. Zitten zat kritieke lekken in, die het patchen niet waard zijn volgens de makers

@degene die me first-post vind. Waarom dan? Ik geef mijn interpretatie op het bericht. Is toch zeker geen first-post!
Guidance 11 december 2005 09:22
Sinds wanneer is iemand die een exploit vindt (dat kan iedereen zijn, zonder ook maar een greintje computer ervaring) een Hacker???

Klinkt natuurlijk stoer, maar niet correct.

Verder: Jah, software heeft flaws. Zielig maar waar, want als god de wereld perfect had willen maken, dan had ie zelf een OS moeten bakken :P
number3 @Guidance11 december 2005 09:33
Iemand die een fout ontdekt is idd geen hacker. Een hacker zou een dergelijke ontdekte fout namelijk belangeloos aan MS opgestuurd hebben en dan naar 3 maanden ofzo op bugtraq melden. En niet voor het geldelijk gewin gaan.
Ranime562 11 december 2005 00:19
Wat ik misschien nog veel interesanter vind (als linux gebruiker)...

Is OpenOffice.org ook gevoelig voor die exploit???

:?
_Thanatos_ @Ranime56211 december 2005 00:25
Dat heeft niets met linux te maken, maar om je vraag te beantwoorden: waarschijnlijk niet. Het is de manier van (verkeerd) interpreteren van de code die in het bestand staat. OOo zou dit bestand waarschijnlijk correct interpreteren en de schadelijke code niet uitvoeren, maar als Excel er een buffer overflow of iets dergelijks op nahoudt, sja. OOo zou dus best andere lekken kunnen hebben, maar die zijn nog niet ontdekt omdat maar een klein percentage ervan gebruikmaakt.
Mizitras @Ranime56211 december 2005 02:59
Een linux-gebruiker wordt meestal toch iets meer 'ervaren' aanzien dan iemand die nog met WindowsXP (enkel en alleen) werkt. Dan weet je zo'n zaken toch wel? :-/
Ranime562 @Mizitras11 december 2005 12:46
Dat kan wel zo zijn. Maar als ik xls documenten van iemand ontvang, die niet weet dat er zulke code inzit en ik open die, kan er dan vanuit OO.o ook code worden uitgevoerd? Ongeacht linux of windows?
_Thanatos_ @Ranime56211 december 2005 14:48
*als* dat zou kunnen, windows-code doet op een linux-systeem niet veel...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq