Eerste serieuze veiligheidsbug in Office 2007 ontdekt

Ondanks dat Microsoft Office 2007 nog maar relatief kort op de markt is, hebben veiligheidsonderzoekers nu al een fout in het pakket ontdekt die wordt aangeduidt als 'highly critical'. De fout zal de meeste gebruikers echter niet treffen.

Microsoft Office Publisher 2007 icoon Experts op het gebied van softwareveiligheid van het bedrijf eEye Digital Security hebben een zogenaamde 'file format vulnerability' gevonden in het Office 2007 onderdeel Publisher. Dit onderdeel van Office, een eenvoudig pakket voor desktop publishing, wordt alleen geleverd in de Small Business, Professional (Plus) en Enterprise uitvoeringen van Office 2007. De veiligheidsbug in het pakket is te misbruiken door een aangepast Publisher-bestand te maken, dat bij opening het systeem kan infecteren met malware en bijvoorbeeld misbruik van het systeem via internet mogelijk maakt. Volgens de ceo van eEye hebben de onderzoekers van het bedrijf de fout via standaard code-auditing technieken ontdekt, en had Microsoft de fout kunnen voorkomen door zelf de controle van zijn broncode zorgvuldig te doen. Microsoft zegt de melding van eEye te onderzoeken en eventuele maatregelen te nemen indien dat noodzakelijk blijft. Op dit moment zijn er nog geen exploits beschikbaar voor de fout. Door de recente release van Office 2007 is het ook niet erg interessant voor crackers, omdat het aantal gebruikers nog beperkt is.

Lees meer

Reacties (25)

rhos 24 februari 2007 11:30

waarom heeft openoffice nooit zulke berichten? of gaat daar niks mis?

reddog33hummer @rhos • 24 februari 2007 11:35

Aan de hoeveelheid fouten zal het niet liggen:
http://www.securityfocus....e=alldoc&query=openoffice

Ik denk dat je het antwoord zelf wel weet

thegve @reddog33hummer • 24 februari 2007 14:09

http://search.securityfoc...ame=alldoc&sort=swishrank

Tegenover 36 pagina's met bugs van MS office. Totaal niet de behoefte om ook maar iemand te bashen hoor, maar zo'n insinuatie slaat nergens op.

mieJas @thegve • 25 februari 2007 11:53

Als je 36 keer meer functionaliteit en gebruiksgemak aanbiedt, is dat behoorlijk begrijpelijk, niet?

Plus dit gaat grotendeels over Office 97 en 98 en 2000...

hansg @reddog33hummer • 24 februari 2007 13:31

Leuke FUD, maar die lijst is dus niet een opsomming van bugs (critical of anderszins) in OpenOffice...

Verwijderd @rhos • 24 februari 2007 11:36

Weinig gebruikers. Daardoor zijn weinig mensen geneigd er een exploit voor te schrijven en is het voor bedrijven als eEye (e.v.a) minder interessant een lek te vinden. Dit aangezien het veel meer aandacht krijgt als het een lek in een veelgebruikt Microsoft product vind, dan in een ander product met minder gebruikers.

i8086 @Verwijderd • 24 februari 2007 11:45

Volgens mij hebben er meer mensen OpenOffice dan MS Office 2007, er zullen wel meer MS Office gebruikers zijn dan OpenOffice, maar de meesten gebruiken nog oudere versies.

Verwijderd @rhos • 24 februari 2007 11:34

Omdat je bij open office bugs niet op microsoft kan bashen

mithras @rhos • 24 februari 2007 11:40

Omdat ze er open over zijn

Weinig tweakers zullen "zomaar" van bugs binnen Ms Office weten, omdat Microsoft ze zelf niet bekend maakt, of pas wanneer ze gesolved zijn.
OpenOffice.org heeft (zie reddog33hummer) gewoon een open lijst van bugs, en je kan zelf altijd een bug toevoegen. Iedereen die dus de bugs van OOo wil weten, kan ze opzoeken, in tegenstelling tot Ms Office

GoTSaUrOn: Weinig gebruikers.

Ik denk dat die factor wel meespeelt, maar niet zo erg als wat ik hierboven schrijf: het verschil tussen open-source software en closed-source software.
Heeft het nut voor (bijv) T.net of /. om een nieuwe (kritieke) bug binnen OOo bekend te maken? Iedereen die dat wil kan kritieke bugs opzoeken, vinden hoe snel bugs gesolved worden, hoeveel bugs er nog open staan etc etc. De meerwaarde van een nieuwsartikel op T.net is er dus eigenlijk niet echt

geert1 @rhos • 24 februari 2007 14:44

Waar denk je dat meer bugs herkend worden, in een pakket dat door een paar miljoen mensen wordt gebruikt, of in een pakket dat door een paar honderd miljoen mensen wordt gebruikt? Dat is je antwoord.

Verwijderd @geert1 • 25 februari 2007 01:41

Waar denk je makkelijker bugs in te vinden:
Een pakket waar de broncode vrij van beschikbaar is waardoor iedereen kan zoeken naar bugs of een closed source pakket waarmee je ingewikkelde zaken moet uithalen om bugs te vinden?

psyBSD @geert1 • 25 februari 2007 02:00

Hier is niets zinnigs over te zeggen, bahalve dat de OSS-comunity niet geheimzinnig doet over bugs, die zijn er, PUNT.

Bij OS-software heb je een optie die je bij proprietaire software niet hebt, nl. 'Vind je het een belangrijke bug?, een die gefixed MOET worden? Wat dacht je ervan om het zelf te doen?' En in veel gevallen gebeurt dit ook.

Deze luxe heeft MS niet, users gaan niet zelf de bug in hun binary fixen (en dat willen ze ook niet). Daarom moet MS door dit soort nieuws-berichten zelf tot meer actie worden aangezet.

satoer 24 februari 2007 12:27

Dus met een aangepast publisher bestand kan kwaadaardige code uitgevoerd worden pffffff. Kom op zeg, ik denk dat het makkelijker en veel universeler is om gewoon een kwaadaardig programma te maken en die de gebruiker laten uitvoeren. Higly Critical my ass, eEye zoekt gewoon goedkope reclame voor het bedijf.

marquis @satoer • 24 februari 2007 12:39

Zoites van, gooi je system32 weg, een doe-het-zelf virus. Das helemaal niet moeilijk.

Nee, ik denk dat het publisher probleem wel serieus genomen moet worden. De meest grote bedrijven gebruiken toch vaak wel publisher, al is het met een nog oude uitvoering. Wanneer een Publisher bestand dus is uitgevoerd op Publisher 2007 is het mogelijk om je hele netwerk vanuit dat systeem te besmetten en over te nemen. En das nie zo mooi. Het is net een domino efect.

En als gebruikers geen rechten hebben, omdat de systeem beheerder dat netjes heeft ingesteld, zal er toch wel mogelijkheden genoeg zijn. Maar ik geef je het te doen, er zullen netwerken genoeg open en onbeveiligd zijn.

LollieStick @satoer • 25 februari 2007 18:08

Dus een een bestand ut2004.zip van 52kb groot is niet gevaarlijk. Iedereen weet namelijk dat een spel van dat kaliber veel groter zou moeten zijn. Kom op zeg.

Onwetende gebruikers klikken overal doorheen en die zien nergens de kwaad van in. Dat jij het onzinnig vindt doet niets af aan het feit dat het gewoon een serieus lek is waar mensen die kwaad bloed hebben wel gebruik van kunnen/willen maken.

sjhgvr 24 februari 2007 11:29

Eerste serieuze veiligheidsbug in Office 2007 ontdekt

De fout zal de meeste gebruikers echter niet treffen.

Zo serieus is het dus niet.

mithras @sjhgvr • 24 februari 2007 11:37

Een vulkaanuitbarsting is ook serieus, alleen hebben er ook weinig mensen last van. Serieus / ernstig zijn en het feit dat er weinig mensen last van hebben sluit elkaar niet uit hoor

Het kan wel zijn dat Microsoft de bug niet als highly important ziet, omdat (hoewel critical) de bug niet bij veel mensen uit te buiten is

dasiro @mithras • 24 februari 2007 12:39

een horde loslopende bloeddorstige wolven is ook serieus, maar daar moet niets aan gedaan worden als dat in een afgelegen bos in canada is.

LollieStick @dasiro • 25 februari 2007 18:10

Maar zodra er ook maar één mensenleven in gevaar is, moet er wel degelijk wat aan gebeuren.

Verwijderd @sjhgvr • 24 februari 2007 12:49

Alleen de mensen die Publisher geinstalleerd hebben... Dat zijn er niet veel, maar het is toch een serieuze fout naar wij dachten.

Nullius 25 februari 2007 15:03

Misschien kunnen bedrijven hun netwerk en dergelijke eens serieus beveiligen.
Niet dat grote bedrijven hun netwerk niet degelijk beveiligen, maar vooral kmo's zijn nog te vaak onbeveiligd.
Laten we even stellen dat een kmo met 5 medewerkers op een netwerk dient gehangen te worden.
Och ja ... zal de baas even een draadloze router kopen, dan kan ie vanuit zijn bureau ook met z'n laptop draadloos op het internet.
Maar geen mens daar die weet hoe het te installeren .. dus alles inpluggen en alle desktops even aansluiten via een utp-kabeltje ?
Upla ... en het werkt nog ook, want de dhp-server is standaard ingeschakeld etc ...

Wat ie wel vergeten is, is het standaard paswoord te veranderen ...
DAT zijn vandaag de dag de grote veiligheidslekken binnen kleine bedrijven ... heus niet de exploits die via via in een publisher bestand gestoken kunnen worden.

Daarmee wil ik uiteraard niet zeggen dat die exploit niet opgelost moet worden, maar toch even de verkeerde ideeën van sommige kmo's uit de doeken doen.
Ik denk niet dat je wil dat ze via een eigen opgezette dns-server aan je bankgegevens kunnen.

DaaNMageDDoN 25 februari 2007 06:23

Office 2007 is het ook niet erg interessant voor "crackers" slashquote....
"waarom 'crackers'?" is mijn vraag.
is het kraken of haken?

SA007 Moderator Tweaking @DaaNMageDDoN • 25 februari 2007 18:08

Hacken: Een systeem proberen te kraken, er dan niks mee vernielen en de fout melden bij de beheerders (of publiceren, soms in de vorm van een tool).

Cracken: Hacken, maar dan met doel om te vernielen of gegevens te stelen. Als ze iets vinden worden het vaak tools voor scriptkiddies en meestal wordt de fout niet gemeld aan de beheerders.

Scriptkiddies: Lui die zeggen dan ze hackers/crackers zijn, maar eigenlijk alleen spullen gebruiken die door echte hackers/crackers zijn vrijgegeven.

Helaas laten veel mensen crackers onder de groep hackers vallen, maar het is wel degelijk anders.

Verwijderd 24 februari 2007 21:17

Zolang ik nog steeds niet snap wat je met een publisher moet . . zal ik hier geen last van hebben. . .

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: