Eerder deze week doken verschillende berichten op over een vermeende zero-day exploit voor een lek in Microsoft Powerpoint. Microsoft heeft nu echter bekendgemaakt dat gebruikers die hun Office-installatie up-to-date houden nooit risico gelopen hebben geïnfecteerd te worden, aangezien het misbruikte lek al geruime tijd opgelost is. De trojan TROJ_Mdropper.bh nestelt zich op kwetsbare systemen en begint vervolgens met het plaatsen van exe-bestanden met willekeurige namen in de Windows-temp-map. Trend Micro kwam met het nieuws naar buiten dat de misbruikte bug niet dezelfde zou zijn als diegene die Microsoft in het MS06-048-bulletin omschreven had en op acht augustus gepatcht had. Dit wordt door Microsoft nu ontkend. Het bedrijf heeft de voorbeeldcode van de exploit onderzocht en benadrukt dat up-to-date-systemen geen risico lopen.
MS: 'Zogenaamde 0-day Powerpoint-exploit al lang opgelost'
Lees meer
:strip_exif()/i/1039089004.jpg?f=fpa)
Microsoft waarschuwt voor ernstig lek in remote desktop
Nieuws van 14 maart 2012
Word vatbaar voor zeroday-exploit
Nieuws van 7 december 2006
Trojan installeert antivirusprogramma tegen concurrentie
Nieuws van 24 oktober 2006
Nieuwe exploits voor Powerpoint in het wild
Nieuws van 27 september 2006
Microsoft vervroegt patch VML-lek
Nieuws van 27 september 2006
PowerPoint en IE onderhevig aan nieuwe exploits
Nieuws van 19 september 2006
Veiligheidsonderzoeker ontdekt backdoors in pdf-bestanden
Nieuws van 16 september 2006
Britse MSN'ers krijgen hotline naar politie
Nieuws van 23 augustus 2006
Microsoft doet verlate patchronde vanwege wormdreiging
Nieuws van 16 augustus 2006
Microsoft verwacht wormuitbraak
Nieuws van 11 augustus 2006
Nieuwe 'zero-day exploit' in Excel ontdekt
Nieuws van 16 juni 2006
Reacties (17)
wie kan dat statement even testen 
?
?
:strip_icc():strip_exif()/u/97973/crop689da1cf6ac35.jpg?f=community){kind=small}
Ik snap sowieso al niet wat Powerpoint moet met de rechten in de Windows map.
Waarom zijn dit soort dingen uberhaubt mogelijk, ik begin de laatste tijd steeds meer heimwee te krijgen naar de tijd dat elk programma zijn eigen mapje had en zijn eigen inf filetjes, geen gedoe met een register waar alle programma's hun zaakjes door elkaar gooien enzovoorts.
Terug naar de .inf filetjes zou als je het mij vraagt zo gek nog niet zijn, ieder programma heeft alleen maar rechten nodig op zijn eigen mapje en dus is de kans op grote elende stukken kleiner.
Waarom zijn dit soort dingen uberhaubt mogelijk, ik begin de laatste tijd steeds meer heimwee te krijgen naar de tijd dat elk programma zijn eigen mapje had en zijn eigen inf filetjes, geen gedoe met een register waar alle programma's hun zaakjes door elkaar gooien enzovoorts.
Terug naar de .inf filetjes zou als je het mij vraagt zo gek nog niet zijn, ieder programma heeft alleen maar rechten nodig op zijn eigen mapje en dus is de kans op grote elende stukken kleiner.
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community){kind=small}
Goed lezen, het gaat om een TEMP folder welke ook als System Environment de naam TEMP heeft. Veel programma's zetten hier tijdelijke meuk in (liever daar dan in hun eigen program folder). Deze specifieke temp map zal dus doorgaans redelijk openstaan voor everyone.
edit : je wilt dus ook terug naar de situatie dat elk programma zijn common DLL's in de program fiolder mikt waardoor je dus met gemak 100 keer dezelfde DLL in 5 verschillende revisies op je HD hebt staan ?
edit : je wilt dus ook terug naar de situatie dat elk programma zijn common DLL's in de program fiolder mikt waardoor je dus met gemak 100 keer dezelfde DLL in 5 verschillende revisies op je HD hebt staan ?
/u/32287/crop5704f5348305b.png?f=community){kind=small}
Tegenwoordig wijst de TEMP variabele naar de persoonlijke Temp folder, dus bijvoorbeeld C:\Documents and Settings\Pietje Puk\Local Settings\Temp. Je hebt altijd full control over deze directory als de betreffende user, maar anderen moeten er niet in kunnen.
Wanneer je dergelijke applicaties gewoon als reguliere user draait is er niets aan de hand, en ze zouden dienst moeten weigeren wanneer ze als local administrator worden gestart, gewoon om de gebruikers te dwingen.
Wanneer je dergelijke applicaties gewoon als reguliere user draait is er niets aan de hand, en ze zouden dienst moeten weigeren wanneer ze als local administrator worden gestart, gewoon om de gebruikers te dwingen.
/u/3586/bismarck.png?f=community){kind=small}
Mijn HD is groot genoeg.
/u/90866/pinguin.png?f=community){kind=small}
Eh, dat is wel de gedachte achter .NET inderdaad. Geen conflicten meer want ieder prog zijn eigen dll's, de harde schijf is toch groot zat.edit : je wilt dus ook terug naar de situatie dat elk programma zijn common DLL's in de program fiolder mikt waardoor je dus met gemak 100 keer dezelfde DLL in 5 verschillende revisies op je HD hebt staan ?
Nee, dat is niet de gedachte achter .NET. De gedachte achter .NET is dat je een grote bak met DLLs hebt met allerlei versies, waarbij elke versie maar 1x voorkomt. Je linkt je programma niet meer naar alleen de naam van een .DLL, maar ook naar de versie ervan. Dit is ook zo ongeveer wat al sinds jaar en dag op andere platformen wordt gedaan in de vorm van .so.1, .so.2, .so.3, etc libraries.
MS wil zelf op termijn van de registry af. Staat ergens letterlijk in hun documentatie. Kan het zo direct niet vinden.
Jij bedoelt de tijd dat je Word (of waarschijnlijker Wordperfect) eerst af moest sluiten, als je Excel (pardon, Lotus 123) wilde gaan gebruiken, omdat er toen nog geen sprake was van multitasking?..ik begin de laatste tijd steeds meer heimwee te krijgen naar de tijd dat elk programma zijn eigen mapje had...
Tja.. het was wel superstabiel allemaal, maar of het nou zo praktisch was.
* Gepetto gaat weer verder met pacman spelen.
[foutje, mag weg...]
Wanneer de gebruiksrechten goed geregeld zijn (en er ook gebruik van wordt gemaakt), kan PP niet zomaar rotzooien in de systeemmappen. Maar bijna iedereen werkt als beheerder, dus alle security valt weg. "Ja ik werk als root in Linux, want 1 account is wel zo makkelijk"... die gedachtegang.Ik snap sowieso al niet wat Powerpoint moet met de rechten in de Windows map.
:strip_icc():strip_exif()/u/140462/NLSkull.jpg?f=community){kind=small}
Zo kunnen we heen en weer blijven ontkennen e.d.
Tja, beide partijen kunnen natuurlijk wat ontdekken. Hopelijk heeft meneer MS gelijk.
Tja, beide partijen kunnen natuurlijk wat ontdekken. Hopelijk heeft meneer MS gelijk.
ini bedoel je neem ik aan?
Als MS zegt dat t is opgelost lijkt me dat het ook zo zal zijn, het zou namelijk jammerlijk slechte reclame zijn als blijkt dat die patch morgen ineens in je lijstje van updates staat en microsoft onzin heeft verspreid. Ik denk dat ze wel opassen met wat ze zeggen hoor, ook bedrijven kunnen hier last van hebben, en die wanen zich nu veilig, als het tegendeel blijkt wordt MS er niet vrolijk van denk ik.
Slechte reclame bestaat niet 
Het probleem met Microsoft is dat ze niet duidelijk maken WELKE bug ze fixen, het kan best zijn dat ze een bug gefixt hebben, maar dat er nog een bug in zit.
Vorige maand is er een bug gefixt in de server service van Windows en werd er een niets zeggend standaard knowledgebase artikeltje verspreid zonder technische details. Vervolgens ging een of ander security team een stukje PoC code maken met de gegevens die ze hadden, aangevuld met de gegevens uit de originele CVE.
Vervolgens rolt daar een stukje python code uit die elke windows installatie keihard laat crashen. Die gast geeft code als PoC code vrij voor de hotfix die in juli uitgerold was.
Vergeten te testen op een gepatchte installatie, blijkt dat die gast een hele andere overflow gevonden had en dat alle windows installaties gewoon te crashen waren met die code, gepatcht of niet. De exploit was dankzij de slechte informatievoorziening van MS en de onzorgvuldigheid van de programmeur dus eerder op internet beschikbaar dan dat MS wist van het probleem.
Vorige maand is er een bug gefixt in de server service van Windows en werd er een niets zeggend standaard knowledgebase artikeltje verspreid zonder technische details. Vervolgens ging een of ander security team een stukje PoC code maken met de gegevens die ze hadden, aangevuld met de gegevens uit de originele CVE.
Vervolgens rolt daar een stukje python code uit die elke windows installatie keihard laat crashen. Die gast geeft code als PoC code vrij voor de hotfix die in juli uitgerold was.
Vergeten te testen op een gepatchte installatie, blijkt dat die gast een hele andere overflow gevonden had en dat alle windows installaties gewoon te crashen waren met die code, gepatcht of niet. De exploit was dankzij de slechte informatievoorziening van MS en de onzorgvuldigheid van de programmeur dus eerder op internet beschikbaar dan dat MS wist van het probleem.
2006-07-12 - MS06-035 Published by Microsoft [1]
2006-07-12 - "Windows Mailslot (MS06-035) DoS" module
released to IMPACT customers
2006-07-13 - We realized (too late) that it was a different bug [2]
2006-07-14 - We got in touch with Microsoft
2006-07-19 - Public exploit released by cocoruder [3]
2006-07-28 - ISS released their advisory [4]
2006-07-28 - Microsoft acknowledged the bug [5]
2006-08-14 - Today - We publish and advisory [10] and this email
Ik heb zoiets van update powerpoint ff en compile die sploit en run hem ff in VMware.. Dan weet je wie gelijk had 
Op dit item kan niet meer gereageerd worden.