Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Powerpoint-doosEerder deze week doken verschillende berichten op over een vermeende zero-day exploit voor een lek in Microsoft Powerpoint. Microsoft heeft nu echter bekendgemaakt dat gebruikers die hun Office-installatie up-to-date houden nooit risico gelopen hebben geÔnfecteerd te worden, aangezien het misbruikte lek al geruime tijd opgelost is. De trojan TROJ_Mdropper.bh nestelt zich op kwetsbare systemen en begint vervolgens met het plaatsen van exe-bestanden met willekeurige namen in de Windows-temp-map. Trend Micro kwam met het nieuws naar buiten dat de misbruikte bug niet dezelfde zou zijn als diegene die Microsoft in het MS06-048-bulletin omschreven had en op acht augustus gepatcht had. Dit wordt door Microsoft nu ontkend. Het bedrijf heeft de voorbeeldcode van de exploit onderzocht en benadrukt dat up-to-date-systemen geen risico lopen.

Moderatie-faq Wijzig weergave

Reacties (17)

wie kan dat statement even testen :)?
Ik snap sowieso al niet wat Powerpoint moet met de rechten in de Windows map.

Waarom zijn dit soort dingen uberhaubt mogelijk, ik begin de laatste tijd steeds meer heimwee te krijgen naar de tijd dat elk programma zijn eigen mapje had en zijn eigen inf filetjes, geen gedoe met een register waar alle programma's hun zaakjes door elkaar gooien enzovoorts.

Terug naar de .inf filetjes zou als je het mij vraagt zo gek nog niet zijn, ieder programma heeft alleen maar rechten nodig op zijn eigen mapje en dus is de kans op grote elende stukken kleiner.
Goed lezen, het gaat om een TEMP folder welke ook als System Environment de naam TEMP heeft. Veel programma's zetten hier tijdelijke meuk in (liever daar dan in hun eigen program folder). Deze specifieke temp map zal dus doorgaans redelijk openstaan voor everyone.

edit : je wilt dus ook terug naar de situatie dat elk programma zijn common DLL's in de program fiolder mikt waardoor je dus met gemak 100 keer dezelfde DLL in 5 verschillende revisies op je HD hebt staan ? :)
edit : je wilt dus ook terug naar de situatie dat elk programma zijn common DLL's in de program fiolder mikt waardoor je dus met gemak 100 keer dezelfde DLL in 5 verschillende revisies op je HD hebt staan ?
Eh, dat is wel de gedachte achter .NET inderdaad. Geen conflicten meer want ieder prog zijn eigen dll's, de harde schijf is toch groot zat.
Nee, dat is niet de gedachte achter .NET. De gedachte achter .NET is dat je een grote bak met DLLs hebt met allerlei versies, waarbij elke versie maar 1x voorkomt. Je linkt je programma niet meer naar alleen de naam van een .DLL, maar ook naar de versie ervan. Dit is ook zo ongeveer wat al sinds jaar en dag op andere platformen wordt gedaan in de vorm van .so.1, .so.2, .so.3, etc libraries.
Tegenwoordig wijst de TEMP variabele naar de persoonlijke Temp folder, dus bijvoorbeeld C:\Documents and Settings\Pietje Puk\Local Settings\Temp. Je hebt altijd full control over deze directory als de betreffende user, maar anderen moeten er niet in kunnen.

Wanneer je dergelijke applicaties gewoon als reguliere user draait is er niets aan de hand, en ze zouden dienst moeten weigeren wanneer ze als local administrator worden gestart, gewoon om de gebruikers te dwingen.
Mijn HD is groot genoeg.
MS wil zelf op termijn van de registry af. Staat ergens letterlijk in hun documentatie. Kan het zo direct niet vinden.
..ik begin de laatste tijd steeds meer heimwee te krijgen naar de tijd dat elk programma zijn eigen mapje had...
Jij bedoelt de tijd dat je Word (of waarschijnlijker Wordperfect) eerst af moest sluiten, als je Excel (pardon, Lotus 123) wilde gaan gebruiken, omdat er toen nog geen sprake was van multitasking?

Tja.. het was wel superstabiel allemaal, maar of het nou zo praktisch was. :P

* Gepetto gaat weer verder met pacman spelen. :Y)
Ik snap sowieso al niet wat Powerpoint moet met de rechten in de Windows map.
Wanneer de gebruiksrechten goed geregeld zijn (en er ook gebruik van wordt gemaakt), kan PP niet zomaar rotzooien in de systeemmappen. Maar bijna iedereen werkt als beheerder, dus alle security valt weg. "Ja ik werk als root in Linux, want 1 account is wel zo makkelijk"... die gedachtegang.
\[foutje, mag weg...]
Als MS zegt dat t is opgelost lijkt me dat het ook zo zal zijn, het zou namelijk jammerlijk slechte reclame zijn als blijkt dat die patch morgen ineens in je lijstje van updates staat en microsoft onzin heeft verspreid. Ik denk dat ze wel opassen met wat ze zeggen hoor, ook bedrijven kunnen hier last van hebben, en die wanen zich nu veilig, als het tegendeel blijkt wordt MS er niet vrolijk van denk ik.
Slechte reclame bestaat niet :7
Het probleem met Microsoft is dat ze niet duidelijk maken WELKE bug ze fixen, het kan best zijn dat ze een bug gefixt hebben, maar dat er nog een bug in zit.
Vorige maand is er een bug gefixt in de server service van Windows en werd er een niets zeggend standaard knowledgebase artikeltje verspreid zonder technische details. Vervolgens ging een of ander security team een stukje PoC code maken met de gegevens die ze hadden, aangevuld met de gegevens uit de originele CVE.
Vervolgens rolt daar een stukje python code uit die elke windows installatie keihard laat crashen. Die gast geeft code als PoC code vrij voor de hotfix die in juli uitgerold was.
Vergeten te testen op een gepatchte installatie, blijkt dat die gast een hele andere overflow gevonden had en dat alle windows installaties gewoon te crashen waren met die code, gepatcht of niet. De exploit was dankzij de slechte informatievoorziening van MS en de onzorgvuldigheid van de programmeur dus eerder op internet beschikbaar dan dat MS wist van het probleem.
2006-07-12 - MS06-035 Published by Microsoft [1]
2006-07-12 - "Windows Mailslot (MS06-035) DoS" module
released to IMPACT customers
2006-07-13 - We realized (too late) that it was a different bug [2]
2006-07-14 - We got in touch with Microsoft
2006-07-19 - Public exploit released by cocoruder [3]
2006-07-28 - ISS released their advisory [4]
2006-07-28 - Microsoft acknowledged the bug [5]
2006-08-14 - Today - We publish and advisory [10] and this email
Zo kunnen we heen en weer blijven ontkennen e.d.
Tja, beide partijen kunnen natuurlijk wat ontdekken. Hopelijk heeft meneer MS gelijk.
ini bedoel je neem ik aan?
Ik heb zoiets van update powerpoint ff en compile die sploit en run hem ff in VMware.. Dan weet je wie gelijk had ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True