Word vatbaar voor zeroday-exploit

Microsoft heeft een security bulletin verspreid waarin het waarschuwt voor het opduiken van een zogenaamde zeroday-exploit voor Word 2000, Word 2002 en Word 2003 voor Windows-platformen en Word 2004 voor Apple-systemen.

Office-icoontjes Daarnaast zijn ook gebruikers van Works 2004, 2005 en 2006 kwetsbaar voor de kwaadaardige code die misbruik maakt van een lek in de tekstverwerkers. Om een computerinfectie op te lopen, moeten gebruikers een malafide document handmatig openen, maar er zijn talloze manieren te bedenken om ervoor te zorgen dat dit gebeurt. Microsoft zelf ziet hier echter wel genoeg reden in om het gevaar slechts 'beperkt' te noemen en waarschuwt zijn klanten er nogmaals voor dat alleen betrouwbare documenten geopend mogen worden. De ontwikkelaars uit Redmond zijn al druk bezig met de ontwikkeling van een patch om het probleem te herstellen. De voorlopige workaround om problemen te voorkomen is het - zoals gebruikelijk hoort te zijn - rechtstreeks naar de prullenmand verwijzen van documenten die niet honderd procent te vertrouwen zijn.

Reacties (59)

michelzwarts 7 december 2006 10:09

Office 2007 wordt niet gemeld, is dit vanwege het feit dat daar het probleem niet is, of omdat het nog niet breed beschikbaar is?

Rafe @michelzwarts • 7 december 2006 10:37

De bron (MS security advisory) heeft Word 2007 niet bij de betrokken producten staan. Aangezien deze alweer een tijdje final is mag je er denk ik van uit gaan dat MS al hun producten heeft getest en dus deze als niet kwetsbaar heeft bevonden.

bpere @michelzwarts • 7 december 2006 15:17

Waarschijnlijk is deze bug ontdekt bij het maken van Word 2007.
Zulke bugs vallen meestal pas op als je dat stukje code wilt aanpassen naar een nieuwe release.

Astennu @michelzwarts • 7 december 2006 10:15

Ik vrees het laatste. Zou wel mooi zijn voor microsoft ding is dan net uit meteen leaks en bugs die ernstig zijn.

Verwijderd @michelzwarts • 7 december 2006 20:24

Waarschijnlijk omdat nog niemand het gebruikt.

GX 7 december 2006 10:39

En dan niet vergeten dat er op internet documenten staan met een 'rare' url waaronder gewoon een word-document zit waardoor Internet Explorer automatisch Word voor je opstart om dat document in te kunnen zien, _in_ je browser.

Ik zie hier nog wel wat misbruik van komen..

Thyraon

@GX • 7 december 2006 11:16

Het kost welgeteld één regel PHP-code om een browser vanaf elk willekeurig script naar een willekeurige andere locatie (een .doc-bestand, bijvoorbeeld) door te verwijzen.

Ik weet niet of het mogelijk is om de "Word-documenten-meteen-laten-zien"-feature in Internet Explorer uit te zetten, maar het lijkt me geen gek idee, tot er een patch is...

GX @Thyraon • 7 december 2006 11:38

Dat staat gelukkig ook in de advisory, tot zover mijn kennis rijkt is de `word-plugin' gewoon een activeX object welke opgestart word, en die kan je uitzetten.

EIo @Thyraon • 7 december 2006 11:32

Een browser die PHP snapt? Stoer...

MaxxMark 7 december 2006 10:19

Ik zie nergens staan wat het resultaat is van de exploit. Kunnen ze arbitrary code uitvoeren? Of maken ze gewoon melding van dat het kán maar dat er nog geen exploits rondzwerven

Parasietje @MaxxMark • 7 december 2006 11:03

Als je aribtraire code kan uitvoeren, wordt dit nog leuk. Even de MSWord executable patchen, en elk legitiem document die opgeslagen wordt, krijgt de exploit mee.

Dan moet je ook oppassen met dat word-document dat je van personen krijgt die je wel vertrouwt!

Verwijderd @Parasietje • 7 december 2006 11:04

Niets nieuws onder de zon.... Nog nooit van Word macro virussen gehoord? Hadden we tien jaar gelden al.

Verwijderd @MaxxMark • 7 december 2006 10:37

Van microsoft: "When a user opens a specially crafted Word file using a malformed string, it may corrupt system memory in such a way that an attacker could execute arbitrary code."

Geen bericht over exploits. Lijkt me een bug die eventueel misbruikt zou kunnen worden.

RemcoDelft 7 december 2006 10:21

...dat alleen betrouwbare documenten geopend mogen worden.

Dit is zoiets als een autofabrikant die zegt dat je alleen op bekende wegen mag rijden! Wat een waardeloos advies!
"Vroeger" was het makkelijk: executables moest je mee oppassen, de rest was veilig. Tegenwoordig kunnen Windowsgebruikers eigenlijk helemaal niets meer zonder risico's op problemen...

Milt @RemcoDelft • 7 december 2006 10:38

Deze exploit heeft niet alleen betrekking op Windows maar zoals in het artikel te lezen is ook op Apple Macintosh. M.a.w. het OS doet er niet toe, de bug zit in dit geval in de applicatie (toevallig ook van Microsoft).

Voor zover ik heb begrepen gaat het om een klassieke buffer overflow bug. En geloof me, die zitten nog in heel veel andere software (ook voor OSX en Linux). Het heeft jaren geduurd voordat deze bug is gevonden en misbruikt en dat geldt waarschijnlijk ook voor de vele nog niet gevonden overflow bugs in andere software. Ik denk dat met name OSX gebruikers nog heel wat te wachten staat op dit gebied. Als OSX groeit in populariteit zal het aantal exploits zeker groeien. Het grote aantal security updates voor OSX dit jaar geeft al aan dat er nog veel te fixen is.

Dit is typisch zo'n geval waarbij de populariteit van Office tegen het product werkt. Er is nou eenmaal meer geld te verdienen met misbruik van populaire producten dan van onbekende producten.

TDeK @Milt • 7 december 2006 15:12

Dat argument waarbij populariteit van software samen lijkt te hangen met exploits duikt wel vaker op. Toch ben ik het hier niet helemaal mee eens.

Het is waar dat software welke vaak gebruikt wordt ook veelvuldig uitgebuid wordt. Maar het heeft ook zeker met de kwaliteit van de code (van het product) te maken. Als we alleen al even in ogenschouw nemen dat Microsoft pas bij Vista is begonnen met object georiënteerd programmeren, dan zegt dat al heel veel. Dit lijkt totaal niets met kwaliteit van code te maken te hebben (met name met herbruikbaarheid) maar toch komt dit principe de kwaliteit van de code ten goede.

Ook is de structuur van Unix (om terug te komen op het genoemde OSX) dusdanig dat er zonder een root password geen programma's (of virussen) iets kunnen uitvoeren. Het hier besproken geval betreft een exploit in een openstaand programma. Daar kan een bepaald deel van de CPU weer naar kijken (en het proces indien nodig af schieten). Ben de naam hiervan helaas even kwijt...

Conclusie: er wordt veel gesproken over exploits in populaire software, maar ik ben het er niet mee eens dat deze één of één met elkaar samen hangen.

elmuerte @RemcoDelft • 7 december 2006 10:29

Buffer overflows zijn altijd een probleem geweest. En dat is nu de meest interesante attack vector. Omdat virus scanners meestal niet arbitrary bestanden controleren.

rtgo @elmuerte • 8 december 2006 09:27

Een goede virusscanner scant alles wat als 'infectable' geldt. Vanwege macrovirii vallen office documenten al heel lang in die categorie. Een goede virusscanner (met de juiste updates) zou dus moeten waarschuwen.

Sissors @RemcoDelft • 7 december 2006 10:27

Logischer is het om het te vergelijken met een autofabrikant die zegt dat je alleen op betrouwbare wegen mag rijden. Bij een landrover onlogisch, bij een normale personenauto best logisch.

Zie trouwens niet echt het nut in van zulke vergelijkingen aangezien ze toch altijd nergens op slaan.

Ciqniz 7 december 2006 10:40

Zero-Day exploits are released before, or on the same day the vulnerability — and, sometimes, the vendor patch — are released to the public. The term derives from the number of days between the public advisory and the release of the exploit. [1]

Dus er zou al een explot moeten zijn(?)

Zay 7 december 2006 12:13

Ik moest hier gisteren erg om lachen toen ik het op /. last. Microsoft heeft als workaround aangegeven "geen word documenten te openen of op te slaan"

openoffice iemand?

killercow 7 december 2006 10:37

In de tussentijd kun je ook OpenOffice gebruiken, en dan daarma in ieder geval even testen of het document correcte data bevat voordat je het in je normale word opent.

Misschien is het zelfs wel verstandig om de documenten even naar odt te saven, en daarna weer naar .doc, lijkt me een redelijk stevige oplossing op een word only virus uit de document bron te filteren.

Abiword kan eventueel ook lijkt mij.

Yalopa @killercow • 7 december 2006 12:34

Leg jij dit ff uit aan een paar 100 gebruikers:

Omdat er problemen zijn met een word virus gaan we tijdelijk openoffice installeren op alle PC's. Voor al uw vragen over openoffice kan u zich tot de helpdesk wenden..

killercow @Yalopa • 7 december 2006 12:40

Wat ben jij van plan dan?

Het hele bedrijf verbieden word docs te openen?
Sorry jongens, we kunnen even niet door met werken, want office mag je niet gebruiken.

Misschien kunnen jullie kerstkaarten gaan schrijven?

Verwijderd @killercow • 7 december 2006 13:08

Nee, we laten gewoon een bak met lego op de afdeling bezorgen!

worker 7 december 2006 20:44

Er wordt hier gesproken over een "klassieke overflow" exploit. Kan iemand dat in een paar regels uitleggen, of heeft iemand een linkje naar een uitleg?

hackerhater @worker • 7 december 2006 21:34

Normaal wordt de geheugenplekken op een stack geplaatst

Bij een buffer-overflow komen er meer gegevens dan de stack aankan waardoor je buiten de geheugenruimte van het programma kan komen

Warpozio 7 december 2006 10:10

Wat wordt bedoeld met "handmatig openen"? (hoeveel manieren zijn er om een Word document te openen?)

Verwijderd @Warpozio • 7 december 2006 10:34

Er wordt bedoeld dat deze exploit niet zonder ingrijpen van de gebruiker kan worden uitgevoerd. Je moet niet alleen naar een site gelokt worden, maar dan ook overreden worden om de word file te downloaden, en te openen. Niets is automatisch, alles gaat via gebruiker acties.

Dat is dus compleet anders dan bijvoorbeeld een email die je ontvangt, die compleet autonoom je computer infecteert.

psyBSD @Verwijderd • 7 december 2006 12:11

ja... en wat is het verschil tussen wat de gebruiker zelf klikt en wat een macro voor hem doet?

Cameleon73 @psyBSD • 7 december 2006 12:50

5 seconden

Verwijderd @psyBSD • 7 december 2006 13:20

Dat een gebruiker de beslissing kan nemen om 'm niet te openen. Duh...

Verwijderd @psyBSD • 7 december 2006 17:01

whateva whateva

Verwijderd @Verwijderd • 7 december 2006 20:26

Je kan een word document ook per email ontvangen, en het dan openen.

Beter is dus helemaal geen word bestanden meer te openen en de verzender vragen om een pdf toe te sturen.

berendhaan @Warpozio • 7 december 2006 10:13

Dubbel klikken, Rechtermuisknop > Openen

--MeAngry--

@berendhaan • 7 december 2006 10:16

Je vergeet Bestand > Openen

Warpozio @--MeAngry-- • 7 december 2006 10:20

Ja, maar dat zijn toch allemaal varianten van handmatig openen?

papmetklonten @berendhaan • 7 december 2006 12:04

Je vergeet linkermuisknop en dan enter

Verwijderd @berendhaan • 7 december 2006 16:59

En je vergeet ook: Start > Uitvoeren > C:\Pad\exploit.doc
En: Start > Uitvoeren > CMD > Enter > C:\Pad\axploit.doc

elmuerte @Warpozio • 7 december 2006 10:26

Waarschijnlijk bedoelen ze: zo lang je het bestand niet opent in Word is er niks aan de hand.
En dat is natuurlijk een opmerking van niks.

Verwijderd 7 december 2006 10:36

Ik zou zeggen: http://nl.openoffice.org/ , geen smoezen meer nu gewoon weer doorwerken!

Verwijderd @Verwijderd • 7 december 2006 10:52

En OpenOffice.Org is er niet gevoelig voor? Weet je dat zeker? Is dat bevestigd?

Parasietje @Verwijderd • 7 december 2006 11:01

Denk nu eens zelf na... Wat is de kans dat een bij het lezen van bv. de titel van een word-document zowel MSWord als OOffice beiden dezelfde geheugenlocatie gebruiken? Wat is de kans dat ze beiden een unsigned int32 gebruiken?
Miniem, toch?

Op dit item kan niet meer gereageerd worden.

Word vatbaar voor zeroday-exploit

Lees meer

Reacties (59)

Sorteer op:

Weergave: