Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: C|Net

Ondanks dat Microsoft Office 2007 nog maar relatief kort op de markt is, hebben veiligheidsonderzoekers nu al een fout in het pakket ontdekt die wordt aangeduidt als 'highly critical'. De fout zal de meeste gebruikers echter niet treffen.

Microsoft Office Publisher 2007 icoonExperts op het gebied van softwareveiligheid van het bedrijf eEye Digital Security hebben een zogenaamde 'file format vulnerability' gevonden in het Office 2007 onderdeel Publisher. Dit onderdeel van Office, een eenvoudig pakket voor desktop publishing, wordt alleen geleverd in de Small Business, Professional (Plus) en Enterprise uitvoeringen van Office 2007. De veiligheidsbug in het pakket is te misbruiken door een aangepast Publisher-bestand te maken, dat bij opening het systeem kan infecteren met malware en bijvoorbeeld misbruik van het systeem via internet mogelijk maakt. Volgens de ceo van eEye hebben de onderzoekers van het bedrijf de fout via standaard code-auditing technieken ontdekt, en had Microsoft de fout kunnen voorkomen door zelf de controle van zijn broncode zorgvuldig te doen. Microsoft zegt de melding van eEye te onderzoeken en eventuele maatregelen te nemen indien dat noodzakelijk blijft. Op dit moment zijn er nog geen exploits beschikbaar voor de fout. Door de recente release van Office 2007 is het ook niet erg interessant voor crackers, omdat het aantal gebruikers nog beperkt is.

Moderatie-faq Wijzig weergave

Reacties (25)

waarom heeft openoffice nooit zulke berichten? of gaat daar niks mis?
Aan de hoeveelheid fouten zal het niet liggen:
http://www.securityfocus....e=alldoc&query=openoffice

Ik denk dat je het antwoord zelf wel weet
http://search.securityfoc...ame=alldoc&sort=swishrank

Tegenover 36 pagina's met bugs van MS office. Totaal niet de behoefte om ook maar iemand te bashen hoor, maar zo'n insinuatie slaat nergens op.
Als je 36 keer meer functionaliteit en gebruiksgemak aanbiedt, is dat behoorlijk begrijpelijk, niet?

Plus dit gaat grotendeels over Office 97 en 98 en 2000...
Leuke FUD, maar die lijst is dus niet een opsomming van bugs (critical of anderszins) in OpenOffice...
Weinig gebruikers. Daardoor zijn weinig mensen geneigd er een exploit voor te schrijven en is het voor bedrijven als eEye (e.v.a) minder interessant een lek te vinden. Dit aangezien het veel meer aandacht krijgt als het een lek in een veelgebruikt Microsoft product vind, dan in een ander product met minder gebruikers.
Volgens mij hebben er meer mensen OpenOffice dan MS Office 2007, er zullen wel meer MS Office gebruikers zijn dan OpenOffice, maar de meesten gebruiken nog oudere versies.
Omdat je bij open office bugs niet op microsoft kan bashen 8-)
Omdat ze er open over zijn ;) Weinig tweakers zullen "zomaar" van bugs binnen Ms Office weten, omdat Microsoft ze zelf niet bekend maakt, of pas wanneer ze gesolved zijn.
OpenOffice.org heeft (zie reddog33hummer) gewoon een open lijst van bugs, en je kan zelf altijd een bug toevoegen. Iedereen die dus de bugs van OOo wil weten, kan ze opzoeken, in tegenstelling tot Ms Office ;)
GoTSaUrOn: Weinig gebruikers.
Ik denk dat die factor wel meespeelt, maar niet zo erg als wat ik hierboven schrijf: het verschil tussen open-source software en closed-source software.
Heeft het nut voor (bijv) T.net of /. om een nieuwe (kritieke) bug binnen OOo bekend te maken? Iedereen die dat wil kan kritieke bugs opzoeken, vinden hoe snel bugs gesolved worden, hoeveel bugs er nog open staan etc etc. De meerwaarde van een nieuwsartikel op T.net is er dus eigenlijk niet echt :)
Waar denk je dat meer bugs herkend worden, in een pakket dat door een paar miljoen mensen wordt gebruikt, of in een pakket dat door een paar honderd miljoen mensen wordt gebruikt? Dat is je antwoord.
Waar denk je makkelijker bugs in te vinden:
Een pakket waar de broncode vrij van beschikbaar is waardoor iedereen kan zoeken naar bugs of een closed source pakket waarmee je ingewikkelde zaken moet uithalen om bugs te vinden?
Hier is niets zinnigs over te zeggen, bahalve dat de OSS-comunity niet geheimzinnig doet over bugs, die zijn er, PUNT.

Bij OS-software heb je een optie die je bij proprietaire software niet hebt, nl. 'Vind je het een belangrijke bug?, een die gefixed MOET worden? Wat dacht je ervan om het zelf te doen?' En in veel gevallen gebeurt dit ook.

Deze luxe heeft MS niet, users gaan niet zelf de bug in hun binary fixen (en dat willen ze ook niet). Daarom moet MS door dit soort nieuws-berichten zelf tot meer actie worden aangezet.
Dus met een aangepast publisher bestand kan kwaadaardige code uitgevoerd worden pffffff. Kom op zeg, ik denk dat het makkelijker en veel universeler is om gewoon een kwaadaardig programma te maken en die de gebruiker laten uitvoeren. Higly Critical my ass, eEye zoekt gewoon goedkope reclame voor het bedijf.
Zoites van, gooi je system32 weg, een doe-het-zelf virus. Das helemaal niet moeilijk. ;)

Nee, ik denk dat het publisher probleem wel serieus genomen moet worden. De meest grote bedrijven gebruiken toch vaak wel publisher, al is het met een nog oude uitvoering. Wanneer een Publisher bestand dus is uitgevoerd op Publisher 2007 is het mogelijk om je hele netwerk vanuit dat systeem te besmetten en over te nemen. En das nie zo mooi. Het is net een domino efect.

En als gebruikers geen rechten hebben, omdat de systeem beheerder dat netjes heeft ingesteld, zal er toch wel mogelijkheden genoeg zijn. Maar ik geef je het te doen, er zullen netwerken genoeg open en onbeveiligd zijn.
Dus een een bestand ut2004.zip van 52kb groot is niet gevaarlijk. Iedereen weet namelijk dat een spel van dat kaliber veel groter zou moeten zijn. Kom op zeg.

Onwetende gebruikers klikken overal doorheen en die zien nergens de kwaad van in. Dat jij het onzinnig vindt doet niets af aan het feit dat het gewoon een serieus lek is waar mensen die kwaad bloed hebben wel gebruik van kunnen/willen maken.
Eerste serieuze veiligheidsbug in Office 2007 ontdekt
De fout zal de meeste gebruikers echter niet treffen.
Zo serieus is het dus niet.
Een vulkaanuitbarsting is ook serieus, alleen hebben er ook weinig mensen last van. Serieus / ernstig zijn en het feit dat er weinig mensen last van hebben sluit elkaar niet uit hoor ;)

Het kan wel zijn dat Microsoft de bug niet als highly important ziet, omdat (hoewel critical) de bug niet bij veel mensen uit te buiten is :)
een horde loslopende bloeddorstige wolven is ook serieus, maar daar moet niets aan gedaan worden als dat in een afgelegen bos in canada is.
Maar zodra er ook maar n mensenleven in gevaar is, moet er wel degelijk wat aan gebeuren.
Alleen de mensen die Publisher geinstalleerd hebben... Dat zijn er niet veel, maar het is toch een serieuze fout naar wij dachten.
Misschien kunnen bedrijven hun netwerk en dergelijke eens serieus beveiligen.
Niet dat grote bedrijven hun netwerk niet degelijk beveiligen, maar vooral kmo's zijn nog te vaak onbeveiligd.
Laten we even stellen dat een kmo met 5 medewerkers op een netwerk dient gehangen te worden.
Och ja ... zal de baas even een draadloze router kopen, dan kan ie vanuit zijn bureau ook met z'n laptop draadloos op het internet.
Maar geen mens daar die weet hoe het te installeren .. dus alles inpluggen en alle desktops even aansluiten via een utp-kabeltje ?
Upla ... en het werkt nog ook, want de dhp-server is standaard ingeschakeld etc ...

Wat ie wel vergeten is, is het standaard paswoord te veranderen ...
DAT zijn vandaag de dag de grote veiligheidslekken binnen kleine bedrijven ... heus niet de exploits die via via in een publisher bestand gestoken kunnen worden.

Daarmee wil ik uiteraard niet zeggen dat die exploit niet opgelost moet worden, maar toch even de verkeerde ideen van sommige kmo's uit de doeken doen.
Ik denk niet dat je wil dat ze via een eigen opgezette dns-server aan je bankgegevens kunnen.
Office 2007 is het ook niet erg interessant voor "crackers" slashquote....
"waarom 'crackers'?" is mijn vraag.
is het kraken of haken? :9
Hacken: Een systeem proberen te kraken, er dan niks mee vernielen en de fout melden bij de beheerders (of publiceren, soms in de vorm van een tool).

Cracken: Hacken, maar dan met doel om te vernielen of gegevens te stelen. Als ze iets vinden worden het vaak tools voor scriptkiddies en meestal wordt de fout niet gemeld aan de beheerders.

Scriptkiddies: Lui die zeggen dan ze hackers/crackers zijn, maar eigenlijk alleen spullen gebruiken die door echte hackers/crackers zijn vrijgegeven.

Helaas laten veel mensen crackers onder de groep hackers vallen, maar het is wel degelijk anders.
Zolang ik nog steeds niet snap wat je met een publisher moet . . zal ik hier geen last van hebben. . .

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True