Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Bron: Microsoft, submitter: Heiden

Microsoft heeft een security bulletin verspreid waarin het waarschuwt voor het opduiken van een zogenaamde zeroday-exploit voor Word 2000, Word 2002 en Word 2003 voor Windows-platformen en Word 2004 voor Apple-systemen.

Office-icoontjesDaarnaast zijn ook gebruikers van Works 2004, 2005 en 2006 kwetsbaar voor de kwaadaardige code die misbruik maakt van een lek in de tekstverwerkers. Om een computerinfectie op te lopen, moeten gebruikers een malafide document handmatig openen, maar er zijn talloze manieren te bedenken om ervoor te zorgen dat dit gebeurt. Microsoft zelf ziet hier echter wel genoeg reden in om het gevaar slechts 'beperkt' te noemen en waarschuwt zijn klanten er nogmaals voor dat alleen betrouwbare documenten geopend mogen worden. De ontwikkelaars uit Redmond zijn al druk bezig met de ontwikkeling van een patch om het probleem te herstellen. De voorlopige workaround om problemen te voorkomen is het - zoals gebruikelijk hoort te zijn - rechtstreeks naar de prullenmand verwijzen van documenten die niet honderd procent te vertrouwen zijn.

Moderatie-faq Wijzig weergave

Reacties (59)

Office 2007 wordt niet gemeld, is dit vanwege het feit dat daar het probleem niet is, of omdat het nog niet breed beschikbaar is?
De bron (MS security advisory) heeft Word 2007 niet bij de betrokken producten staan. Aangezien deze alweer een tijdje final is mag je er denk ik van uit gaan dat MS al hun producten heeft getest en dus deze als niet kwetsbaar heeft bevonden.
Waarschijnlijk is deze bug ontdekt bij het maken van Word 2007.
Zulke bugs vallen meestal pas op als je dat stukje code wilt aanpassen naar een nieuwe release.
Waarschijnlijk omdat nog niemand het gebruikt.
Ik vrees het laatste. Zou wel mooi zijn voor microsoft ding is dan net uit meteen leaks en bugs die ernstig zijn.
En dan niet vergeten dat er op internet documenten staan met een 'rare' url waaronder gewoon een word-document zit waardoor Internet Explorer automatisch Word voor je opstart om dat document in te kunnen zien, _in_ je browser.

Ik zie hier nog wel wat misbruik van komen..
Het kost welgeteld één regel PHP-code om een browser vanaf elk willekeurig script naar een willekeurige andere locatie (een .doc-bestand, bijvoorbeeld) door te verwijzen.

Ik weet niet of het mogelijk is om de "Word-documenten-meteen-laten-zien"-feature in Internet Explorer uit te zetten, maar het lijkt me geen gek idee, tot er een patch is...
Dat staat gelukkig ook in de advisory, tot zover mijn kennis rijkt is de `word-plugin' gewoon een activeX object welke opgestart word, en die kan je uitzetten.
Een browser die PHP snapt? Stoer... :z
...dat alleen betrouwbare documenten geopend mogen worden.
Dit is zoiets als een autofabrikant die zegt dat je alleen op bekende wegen mag rijden! Wat een waardeloos advies!
"Vroeger" was het makkelijk: executables moest je mee oppassen, de rest was veilig. Tegenwoordig kunnen Windowsgebruikers eigenlijk helemaal niets meer zonder risico's op problemen...
Buffer overflows zijn altijd een probleem geweest. En dat is nu de meest interesante attack vector. Omdat virus scanners meestal niet arbitrary bestanden controleren.
Een goede virusscanner scant alles wat als 'infectable' geldt. Vanwege macrovirii vallen office documenten al heel lang in die categorie. Een goede virusscanner (met de juiste updates) zou dus moeten waarschuwen.
Deze exploit heeft niet alleen betrekking op Windows maar zoals in het artikel te lezen is ook op Apple Macintosh. M.a.w. het OS doet er niet toe, de bug zit in dit geval in de applicatie (toevallig ook van Microsoft).

Voor zover ik heb begrepen gaat het om een klassieke buffer overflow bug. En geloof me, die zitten nog in heel veel andere software (ook voor OSX en Linux). Het heeft jaren geduurd voordat deze bug is gevonden en misbruikt en dat geldt waarschijnlijk ook voor de vele nog niet gevonden overflow bugs in andere software. Ik denk dat met name OSX gebruikers nog heel wat te wachten staat op dit gebied. Als OSX groeit in populariteit zal het aantal exploits zeker groeien. Het grote aantal security updates voor OSX dit jaar geeft al aan dat er nog veel te fixen is.

Dit is typisch zo'n geval waarbij de populariteit van Office tegen het product werkt. Er is nou eenmaal meer geld te verdienen met misbruik van populaire producten dan van onbekende producten.
Dat argument waarbij populariteit van software samen lijkt te hangen met exploits duikt wel vaker op. Toch ben ik het hier niet helemaal mee eens.

Het is waar dat software welke vaak gebruikt wordt ook veelvuldig uitgebuid wordt. Maar het heeft ook zeker met de kwaliteit van de code (van het product) te maken. Als we alleen al even in ogenschouw nemen dat Microsoft pas bij Vista is begonnen met object georiënteerd programmeren, dan zegt dat al heel veel. Dit lijkt totaal niets met kwaliteit van code te maken te hebben (met name met herbruikbaarheid) maar toch komt dit principe de kwaliteit van de code ten goede.

Ook is de structuur van Unix (om terug te komen op het genoemde OSX) dusdanig dat er zonder een root password geen programma's (of virussen) iets kunnen uitvoeren. Het hier besproken geval betreft een exploit in een openstaand programma. Daar kan een bepaald deel van de CPU weer naar kijken (en het proces indien nodig af schieten). Ben de naam hiervan helaas even kwijt...

Conclusie: er wordt veel gesproken over exploits in populaire software, maar ik ben het er niet mee eens dat deze één of één met elkaar samen hangen.
Logischer is het om het te vergelijken met een autofabrikant die zegt dat je alleen op betrouwbare wegen mag rijden. Bij een landrover onlogisch, bij een normale personenauto best logisch.

Zie trouwens niet echt het nut in van zulke vergelijkingen aangezien ze toch altijd nergens op slaan.
Ik zie nergens staan wat het resultaat is van de exploit. Kunnen ze arbitrary code uitvoeren? Of maken ze gewoon melding van dat het kán maar dat er nog geen exploits rondzwerven
Als je aribtraire code kan uitvoeren, wordt dit nog leuk. Even de MSWord executable patchen, en elk legitiem document die opgeslagen wordt, krijgt de exploit mee.

Dan moet je ook oppassen met dat word-document dat je van personen krijgt die je wel vertrouwt!
Niets nieuws onder de zon.... Nog nooit van Word macro virussen gehoord? Hadden we tien jaar gelden al.
Van microsoft: "When a user opens a specially crafted Word file using a malformed string, it may corrupt system memory in such a way that an attacker could execute arbitrary code."

Geen bericht over exploits. Lijkt me een bug die eventueel misbruikt zou kunnen worden.
Zero-Day exploits are released before, or on the same day the vulnerability — and, sometimes, the vendor patch — are released to the public. The term derives from the number of days between the public advisory and the release of the exploit. [1]
Dus er zou al een explot moeten zijn(?)
Ik moest hier gisteren erg om lachen toen ik het op /. last. Microsoft heeft als workaround aangegeven "geen word documenten te openen of op te slaan"


openoffice iemand?
Wat wordt bedoeld met "handmatig openen"? (hoeveel manieren zijn er om een Word document te openen?)
Er wordt bedoeld dat deze exploit niet zonder ingrijpen van de gebruiker kan worden uitgevoerd. Je moet niet alleen naar een site gelokt worden, maar dan ook overreden worden om de word file te downloaden, en te openen. Niets is automatisch, alles gaat via gebruiker acties.

Dat is dus compleet anders dan bijvoorbeeld een email die je ontvangt, die compleet autonoom je computer infecteert.
ja... en wat is het verschil tussen wat de gebruiker zelf klikt en wat een macro voor hem doet? :?
Dat een gebruiker de beslissing kan nemen om 'm niet te openen. Duh...
Je kan een word document ook per email ontvangen, en het dan openen.

Beter is dus helemaal geen word bestanden meer te openen en de verzender vragen om een pdf toe te sturen.
Dubbel klikken, Rechtermuisknop > Openen :+
Je vergeet Bestand > Openen :P
Ja, maar dat zijn toch allemaal varianten van handmatig openen?
Je vergeet linkermuisknop en dan enter
En je vergeet ook: Start > Uitvoeren > C:\Pad\exploit.doc
En: Start > Uitvoeren > CMD > Enter > C:\Pad\axploit.doc
Waarschijnlijk bedoelen ze: zo lang je het bestand niet opent in Word is er niks aan de hand.
En dat is natuurlijk een opmerking van niks.
In de tussentijd kun je ook OpenOffice gebruiken, en dan daarma in ieder geval even testen of het document correcte data bevat voordat je het in je normale word opent.

Misschien is het zelfs wel verstandig om de documenten even naar odt te saven, en daarna weer naar .doc, lijkt me een redelijk stevige oplossing op een word only virus uit de document bron te filteren.

Abiword kan eventueel ook lijkt mij.
Leg jij dit ff uit aan een paar 100 gebruikers:

Omdat er problemen zijn met een word virus gaan we tijdelijk openoffice installeren op alle PC's. Voor al uw vragen over openoffice kan u zich tot de helpdesk wenden..
Wat ben jij van plan dan?

Het hele bedrijf verbieden word docs te openen?
Sorry jongens, we kunnen even niet door met werken, want office mag je niet gebruiken.

Misschien kunnen jullie kerstkaarten gaan schrijven?
Nee, we laten gewoon een bak met lego op de afdeling bezorgen! :P
Er wordt hier gesproken over een "klassieke overflow" exploit. Kan iemand dat in een paar regels uitleggen, of heeft iemand een linkje naar een uitleg?
Normaal wordt de geheugenplekken op een stack geplaatst

Bij een buffer-overflow komen er meer gegevens dan de stack aankan waardoor je buiten de geheugenruimte van het programma kan komen
Ik zou zeggen: http://nl.openoffice.org/ , geen smoezen meer nu gewoon weer doorwerken!
En OpenOffice.Org is er niet gevoelig voor? Weet je dat zeker? Is dat bevestigd?
Denk nu eens zelf na... Wat is de kans dat een bij het lezen van bv. de titel van een word-document zowel MSWord als OOffice beiden dezelfde geheugenlocatie gebruiken? Wat is de kans dat ze beiden een unsigned int32 gebruiken?
Miniem, toch?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True