Opnieuw is er een lek geconstateerd in Microsoft Excel. Dit keer blijkt de office-applicatie gevoelig voor Flash-bestanden. Dergelijke in Excel-documenten opgenomen bestanden worden zonder enige waarschuwing automatisch uitgevoerd bij het openen van het document. Onderzoeker Debasis Mohanty constateerde het lek en bracht vervolgens al op 3 mei Microsoft ervan op de hoogte. De softwaregigant verzocht hem de informatie voor zich te houden zodat het bedrijf aan een oplossing kon werken. Twee weken later had Microsoft tijdelijke maatregelen getroffen, maar pas op 20 juni kreeg Mohanty groen licht om de wereld deelgenoot te maken van zijn ontdekking. Microsoft laat overigens weten dat het probleem alles te maken heeft met de mogelijkheid om ActiveX-objecten te laden en dat het derhalve geen fout is, maar een 'feature'. Wel gaf het bedrijf toe dat kwaadwilllenden op deze manier misbruik van deze mogelijkheid hadden kunnen maken, al heeft het bedrijf geen ActiveX-objecten gezien die hackers de mogelijkheid gaven om dat ook te doen.
Nieuw veiligheidslek treft Microsoft Excel
Lees meer
Microsoft stelt copyright-plugin voor Office beschikbaar
Nieuws van 22 juni 2006
Hacker ontdekt tweede kritiek lek in Excel
Nieuws van 21 juni 2006
Reacties (16)
:strip_icc():strip_exif()/u/122040/crop5b1e4d0886e95_cropped.jpeg?f=community){kind=small}
Waar hebben we dat eerder gehoord?...dat het probleem alles te maken heeft met de mogelijkheid om ActiveX-objecten te laden en dat het derhalve geen fout is, maar een 'feature'.
Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen. (En ja, ik lees de tekst en ik heb gelezen dat Mohanty het al eerder had ontdekt en aan Microsoft heeft gemeld)
It's a feature, not a bug ... 
Het is geen lek maar een 'feature', deze 'feature' komt een beetje knullig over, vooral het feit dat zonder waarschuwing een extern bestand automatisch wordt uitgevoerd bij het openen van een document kan echt niet meer in deze tijd. Van mij mogen ze in toekomstige versies dit soort 'features' weglaten.Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen.
En daarmee hebben we dan opnieuw een stukje gebruiksgemak ingeleverd om ons tegen de virusschrijvers te beschermen....
Dat geeft juist goed aan dat de beveiliging van de meeste browsers op zo'n nivo is dat virusschrijvers (en hun counter-part) zich steeds meer verdiepen op andere software die veel gebruikt wordt. Microsoft Office is dan een logisch vervolg qua marktbezetting.Goh, dit is alweer het derde lek in de Office suite sinds een paar dagen.
Onze mailserver behandelt ontzettend veel emails met XLS attachments, dus er zijn gigantisch veel mensen die dan kwetsbaar zijn. De meeste gebruikers zijn redelijk argwanend tegenwoordig op bijlagen, omdat die keurig een extra waarschuwing krijgen met de huidige generatie browsers, maar veel mensen vertrouwen Excel documenten en zetten soms de attachment waarschuwing uit voor dat bestandstype.
/u/90124/RedRobot%2520-%2520Nieuw.png?f=community){kind=small}
het zal wel aan mij liggen, maar mij lijkt het totaal overbodig om flash bestanden in exel te laden. en is het niet mogelijk om in de offline modus te werken. als ik excel gebruik hoef ik niet met die documenten connectie te maken met het internet, maar ben blijkbaar dus wel vatbaar voor online bug..... eatures.
Ermm het flash object kan embedded worden opgeslagen in het Excel document, het probleem is dus dat het zonder waarschuwing/prompt opstartbaar is, en dan dus in "Local Computer" beveiligingsmode start. Er is op dat moment dan toch redelijk veel mogelijk via Flash/ActionScript om virusachtige taken te verrichten.
Lijkt erop dat iemand zijn persoonlijke oorlogje tegen Excel aan het voeren is...
Dit is dezelfde constructie als de Word/Excel macro virussen, die al tien jaar geleden hun opmars maakten.
Vroeger vondt iedereen het fantastisch dat deze documenten macro's bevatten, i.p.v. dat je de macro appart mee moest zenden en installeren. Tegenwoordig wordt alles misbruikt, en zijn handige en plezierige features plotseling veiligheids lekken geworden....
Alle beschermings maatregelen die men moet treffen om misbruik te voorkomen gaat er voor zorgen dat een computer steeds minder gebruiksvriendelijk wordt.
De enige mogelijkheid om deze features te houden zal zijn om altijd en overal een gesigneerd bestand te vereisen... De mogelijkheid zit al lang in Office, maar wordt door vrijwel niemand gebruikt, omdat het gewoon onhandig is, en lastig te implementeren.
Dit is dezelfde constructie als de Word/Excel macro virussen, die al tien jaar geleden hun opmars maakten.
Vroeger vondt iedereen het fantastisch dat deze documenten macro's bevatten, i.p.v. dat je de macro appart mee moest zenden en installeren. Tegenwoordig wordt alles misbruikt, en zijn handige en plezierige features plotseling veiligheids lekken geworden....
Alle beschermings maatregelen die men moet treffen om misbruik te voorkomen gaat er voor zorgen dat een computer steeds minder gebruiksvriendelijk wordt.
De enige mogelijkheid om deze features te houden zal zijn om altijd en overal een gesigneerd bestand te vereisen... De mogelijkheid zit al lang in Office, maar wordt door vrijwel niemand gebruikt, omdat het gewoon onhandig is, en lastig te implementeren.
De komkommertijd is weer begonnen geloof ik...
Misschien maar beter Excelkomkommertijd noemen . Net als de vorige "bug", is dit weer zoiets van: Hoe kom je er in godsnaam op en in hoeverre is dit bruikbaar. Ook dit betekent weer een hele reeks assumptions (the mother of all fuckups):
- De gebruiker opent gewoon alle excel files die hij krijgt
- Active X staat aan
- Flash is geinstalleerd
- De lokale beveiliging moet zeer laag zijn, anders kan het niet opstarten
Ok, het zijn wel voorwaarden die niet ongewoon zijn, maar toch is het weer een erg afhankelijke situatie. Daarnaast is het geen beveiligingslek, maar blijkbaar een ongewenste functionaliteit. Lekken slaan op slecht/verkeerd geschreven fouten waar misbruik van gemaakt kan worden, een bug is gewoon een fout waar mogelijk verkeerd gebruik van gemaakt kan worden.
Als men zo graag bugs/exploits wil vinden, laat men dan gaan zoeken naar de bugs/exploits die echt gevaarlijk zijn....
@MrASCII: Flash en Active X bestaan niet eens zolang. Volgens mij kan het hooguit in Office 2000 ook nog zitten deze fout. (De oudere versies ondersteunden dit volgens mij nog niet
)
@yorndejong: 98/ME gebruikers gaan we zowiezo geen rekening mee houden meer. Die zijn per definitie gehacked tegenwoordig. En ik denk dat je nog ff moet gaan sparen, want je gaat me meer euros betalen dan jij nu denkt.... Die willekeurige John Doe is daarnaast tegenwoordig vrij zelfbewust.. Binnen kantooromgeving gaan jouw voorbeelden al niet op.
Misschien maar beter Excelkomkommertijd noemen
. Net als de vorige "bug", is dit weer zoiets van: Hoe kom je er in godsnaam op en in hoeverre is dit bruikbaar. Ook dit betekent weer een hele reeks assumptions (the mother of all fuckups):- De gebruiker opent gewoon alle excel files die hij krijgt
- Active X staat aan
- Flash is geinstalleerd
- De lokale beveiliging moet zeer laag zijn, anders kan het niet opstarten
Ok, het zijn wel voorwaarden die niet ongewoon zijn, maar toch is het weer een erg afhankelijke situatie. Daarnaast is het geen beveiligingslek, maar blijkbaar een ongewenste functionaliteit. Lekken slaan op slecht/verkeerd geschreven fouten waar misbruik van gemaakt kan worden, een bug is gewoon een fout waar mogelijk verkeerd gebruik van gemaakt kan worden.
Als men zo graag bugs/exploits wil vinden, laat men dan gaan zoeken naar de bugs/exploits die echt gevaarlijk zijn....
@MrASCII: Flash en Active X bestaan niet eens zolang. Volgens mij kan het hooguit in Office 2000 ook nog zitten deze fout. (De oudere versies ondersteunden dit volgens mij nog niet
)@yorndejong: 98/ME gebruikers gaan we zowiezo geen rekening mee houden meer. Die zijn per definitie gehacked tegenwoordig. En ik denk dat je nog ff moet gaan sparen, want je gaat me meer euros betalen dan jij nu denkt.... Die willekeurige John Doe is daarnaast tegenwoordig vrij zelfbewust.. Binnen kantooromgeving gaan jouw voorbeelden al niet op.
Denk je een willekeurige kantoormedewerker/thuiszittende John Doe in... Need I say more?- De gebruiker opent gewoon alle excel files die hij krijgt
Ik geef jouw een euro voor iedere PC met win98 of hoger waar ActiveX op uit staat, jij mij een voor iedere PC waarvoor het aan staat, deal?- Active X staat aan
Ik geef jouw een euro voor iedere PC met win98 of hoger waar geen Flash op staat, jij mij een voor iedere PC waar het wel op staat, deal?- Flash is geinstalleerd
Waar baseer je dat op? Moet de beveiliging hoger of lager dan de standaardinstelling zijn?- De lokale beveiliging moet zeer laag zijn, anders kan het niet opstarten
Het is wel raak met excel de laatste weken.
What more to expect?
Maar then again: wie zoekt zal vinden
What more to expect?
Maar then again: wie zoekt zal vinden
het is wel raak met excel de laatste tijd...
misschien maar tijdelijk open office gebruiken om geen gevaar te lopen
misschien maar tijdelijk open office gebruiken om geen gevaar te lopen
Hoezo tijdelijk?tijdelijk
Wat niet vergeten moet worden is dat een programma als Excel niet ineens ontwikkeld is. Het kan best zijn dat de betreffende code al 10 jaar in het Office pakket zit, en toen was er nu eenmaal een mindere dreiging voor bijv. hackers. Niet dat dit goed te praten is, maar veelal zijn dit soort bugs gewoon legacy problemen ( net als veel bugs in Windows trouwens, en eigenlijk ieder stuk software wat over vele jaren ontwikkeld is )
Oeps verkeerde draadje 
Op dit item kan niet meer gereageerd worden.