Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties
Bron: HSP, submitter: Ateq

Lek Opnieuw is er een lek geconstateerd in Microsoft Excel. Dit keer blijkt de office-applicatie gevoelig voor Flash-bestanden. Dergelijke in Excel-documenten opgenomen bestanden worden zonder enige waarschuwing automatisch uitgevoerd bij het openen van het document. Onderzoeker Debasis Mohanty constateerde het lek en bracht vervolgens al op 3 mei Microsoft ervan op de hoogte. De softwaregigant verzocht hem de informatie voor zich te houden zodat het bedrijf aan een oplossing kon werken. Twee weken later had Microsoft tijdelijke maatregelen getroffen, maar pas op 20 juni kreeg Mohanty groen licht om de wereld deelgenoot te maken van zijn ontdekking. Microsoft laat overigens weten dat het probleem alles te maken heeft met de mogelijkheid om ActiveX-objecten te laden en dat het derhalve geen fout is, maar een 'feature'. Wel gaf het bedrijf toe dat kwaadwilllenden op deze manier misbruik van deze mogelijkheid hadden kunnen maken, al heeft het bedrijf geen ActiveX-objecten gezien die hackers de mogelijkheid gaven om dat ook te doen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (16)

...dat het probleem alles te maken heeft met de mogelijkheid om ActiveX-objecten te laden en dat het derhalve geen fout is, maar een 'feature'.
Waar hebben we dat eerder gehoord?

Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen. (En ja, ik lees de tekst en ik heb gelezen dat Mohanty het al eerder had ontdekt en aan Microsoft heeft gemeld)
It's a feature, not a bug ... :+
Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen.
Het is geen lek maar een 'feature', deze 'feature' komt een beetje knullig over, vooral het feit dat zonder waarschuwing een extern bestand automatisch wordt uitgevoerd bij het openen van een document kan echt niet meer in deze tijd. Van mij mogen ze in toekomstige versies dit soort 'features' weglaten.
En daarmee hebben we dan opnieuw een stukje gebruiksgemak ingeleverd om ons tegen de virusschrijvers te beschermen....
Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen.
Dat geeft juist goed aan dat de beveiliging van de meeste browsers op zo'n nivo is dat virusschrijvers (en hun counter-part) zich steeds meer verdiepen op andere software die veel gebruikt wordt. Microsoft Office is dan een logisch vervolg qua marktbezetting.

Onze mailserver behandelt ontzettend veel emails met XLS attachments, dus er zijn gigantisch veel mensen die dan kwetsbaar zijn. De meeste gebruikers zijn redelijk argwanend tegenwoordig op bijlagen, omdat die keurig een extra waarschuwing krijgen met de huidige generatie browsers, maar veel mensen vertrouwen Excel documenten en zetten soms de attachment waarschuwing uit voor dat bestandstype.
het zal wel aan mij liggen, maar mij lijkt het totaal overbodig om flash bestanden in exel te laden. en is het niet mogelijk om in de offline modus te werken. als ik excel gebruik hoef ik niet met die documenten connectie te maken met het internet, maar ben blijkbaar dus wel vatbaar voor online bug..... eatures.
Ermm het flash object kan embedded worden opgeslagen in het Excel document, het probleem is dus dat het zonder waarschuwing/prompt opstartbaar is, en dan dus in "Local Computer" beveiligingsmode start. Er is op dat moment dan toch redelijk veel mogelijk via Flash/ActionScript om virusachtige taken te verrichten.
Wat niet vergeten moet worden is dat een programma als Excel niet ineens ontwikkeld is. Het kan best zijn dat de betreffende code al 10 jaar in het Office pakket zit, en toen was er nu eenmaal een mindere dreiging voor bijv. hackers. Niet dat dit goed te praten is, maar veelal zijn dit soort bugs gewoon legacy problemen ( net als veel bugs in Windows trouwens, en eigenlijk ieder stuk software wat over vele jaren ontwikkeld is )
Lijkt erop dat iemand zijn persoonlijke oorlogje tegen Excel aan het voeren is...

Dit is dezelfde constructie als de Word/Excel macro virussen, die al tien jaar geleden hun opmars maakten.

Vroeger vondt iedereen het fantastisch dat deze documenten macro's bevatten, i.p.v. dat je de macro appart mee moest zenden en installeren. Tegenwoordig wordt alles misbruikt, en zijn handige en plezierige features plotseling veiligheids lekken geworden....

Alle beschermings maatregelen die men moet treffen om misbruik te voorkomen gaat er voor zorgen dat een computer steeds minder gebruiksvriendelijk wordt.

De enige mogelijkheid om deze features te houden zal zijn om altijd en overal een gesigneerd bestand te vereisen... De mogelijkheid zit al lang in Office, maar wordt door vrijwel niemand gebruikt, omdat het gewoon onhandig is, en lastig te implementeren.
De komkommertijd is weer begonnen geloof ik...

Misschien maar beter Excelkomkommertijd noemen :+ . Net als de vorige "bug", is dit weer zoiets van: Hoe kom je er in godsnaam op en in hoeverre is dit bruikbaar. Ook dit betekent weer een hele reeks assumptions (the mother of all fuckups):
- De gebruiker opent gewoon alle excel files die hij krijgt
- Active X staat aan
- Flash is geinstalleerd
- De lokale beveiliging moet zeer laag zijn, anders kan het niet opstarten

Ok, het zijn wel voorwaarden die niet ongewoon zijn, maar toch is het weer een erg afhankelijke situatie. Daarnaast is het geen beveiligingslek, maar blijkbaar een ongewenste functionaliteit. Lekken slaan op slecht/verkeerd geschreven fouten waar misbruik van gemaakt kan worden, een bug is gewoon een fout waar mogelijk verkeerd gebruik van gemaakt kan worden.

Als men zo graag bugs/exploits wil vinden, laat men dan gaan zoeken naar de bugs/exploits die echt gevaarlijk zijn....

@MrASCII: Flash en Active X bestaan niet eens zolang. Volgens mij kan het hooguit in Office 2000 ook nog zitten deze fout. (De oudere versies ondersteunden dit volgens mij nog niet :?)

@yorndejong: 98/ME gebruikers gaan we zowiezo geen rekening mee houden meer. Die zijn per definitie gehacked tegenwoordig. En ik denk dat je nog ff moet gaan sparen, want je gaat me meer euros betalen dan jij nu denkt.... Die willekeurige John Doe is daarnaast tegenwoordig vrij zelfbewust.. Binnen kantooromgeving gaan jouw voorbeelden al niet op.
- De gebruiker opent gewoon alle excel files die hij krijgt
Denk je een willekeurige kantoormedewerker/thuiszittende John Doe in... Need I say more?
- Active X staat aan
Ik geef jouw een euro voor iedere PC met win98 of hoger waar ActiveX op uit staat, jij mij een voor iedere PC waarvoor het aan staat, deal?
- Flash is geinstalleerd
Ik geef jouw een euro voor iedere PC met win98 of hoger waar geen Flash op staat, jij mij een voor iedere PC waar het wel op staat, deal?
- De lokale beveiliging moet zeer laag zijn, anders kan het niet opstarten
Waar baseer je dat op? Moet de beveiliging hoger of lager dan de standaardinstelling zijn?
Het is wel raak met excel de laatste weken.
What more to expect?

Maar then again: wie zoekt zal vinden
het is wel raak met excel de laatste tijd...

misschien maar tijdelijk open office gebruiken om geen gevaar te lopen
tijdelijk
Hoezo tijdelijk?
Oeps verkeerde draadje |:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True