Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Kon Microsoft vorige maand nog uitpakken met de mededeling dat geen enkel veiligheidslek gepatcht moest worden op de maandelijkse hersteldag, gisteren werd 'patch tuesday' verstoord door de aankondiging dat er een kritiek lek in Word 2007 gevonden was.

Microsoft Office 2007 - logo embleemDe hacker Mati Aharoni heeft op de website Offensive Security een aantal proof of concept-bestanden gepost waarmee aangetoond wordt dat er ernstige lekken in Word 2007 zitten. Met wat hij zelf zijn '7 line python fuzzer' noemt, vond hij naar eigen zeggen in drie uur een viertal problemen. Het gaat daarbij om buffer overflows en 'denial of service'-mogelijkheden. Het lijkt er overigens op dat Aharoni Microsoft niet op de hoogte heeft gesteld van zijn bevindingen alvorens deze te publiceren. Kwaadwillende collega-hackers hebben bijgevolg ruimschoots de tijd, tot de volgende patchdinsdag, om exploits voor de lekken te schrijven. David LeBlanc van Microsoft stelt dat een van de lekken echter niet als gevaarlijk beschouwd moet worden. Een .hlp-bestand is volgens hem ontworpen om als uitvoerbaar bestand te kunnen functioneren - hoewel de heap overflow wel niet tot bedoelde functionaliteit gerekend zal kunnen worden - en het is bijgevolg ook mogelijk deze bestanden te misbruiken voor kwaadaardige doeleinden. Volgens LeBlanc zou het echter efficiŽnter zijn om gebruikers chocolade aan te bieden in ruil voor hun wachtwoorden, dan misbruik te willen maken van dit lek.

Moderatie-faq Wijzig weergave

Reacties (43)

Wat zou zijn 7 line python fuzzer zijn?

Een python script wat lekken kan opsporen?
Een fuzzer is een programma wat random bytes genereerd. Sommige fuzzers proberen zo nauwkeuriger de invoer na te bootsen (bijv. het smbtorture programma), andere geven gewoon letterlijk rommel.

Daarna wacht je dus rustig af totdat het programma zich verslikt in de rommel die je erin stopt, bijvoorbeeld omdat er een buffer-overflow ontstaat door een ontbrekende controle van de programmeur.

Als je met zo'n programma al fouten kan vinden, vind ik het vreemd dat Microsoft niet zelf zo'n programma heeft gebruikt om buffer overflows te vinden in Word.
Babelfish verteld me dat "to fuzz" "aan dons" betekent.

Het is dus een zevenlijns python script wat dons produceert :)
Hij zal zich wel verslikt hebben in een kuikentje. :+
file789-1.doc - Unspecified Overflow in word 2007 - Crash in wwlib.dll . Code execution is not trivial.

file798-1.doc . Word 2007 CPU exhaustion DOS - CPU shoots up to 100 %.

file613-1.doc - Word 2007 CPU exhaustion DOS + ding - CPU shoots up to 100 %, and windows goes .ding!.

Niet echt heel erg ernstige lekjes...
Niet echt heel erg ernstige lekjes...
"Ja meneer, uw gloed nieuwe sportwagen kan nog wat kleine gebreken hebben. Zo kan het zijn dat als bepaalde personen bij u in de auto stappen uw motor automatisch stationair vol gas gaat draaien. Verder niets ernstigs hoor, we lossen het wel op over een paar weken."

...

"Wat? Meteen de eerste keer goed? Duur product? Nee, wij vinden dat we heel adequaat gereageerd hebben hoor, over 4 weken heeft u een oplossing."

Om maar weer een te illustreren hoe gestoord het eigenlijk gesteld is met de softwarebranch.
erm, die foutjes komen niet zomaar voor hoor.

maak er dan van:

'ja meneer 17x toeteren gevolgd door 18x op het rempedaal duwen en de ramen op en neer doen, zorgen ervoor dat de testconsole wordt opgestart. Als u dan uw memorystick met kwaadwillige code in de autoradio steekt, dan kan het zijn dat het autoalarm wordt uitgeschakeld."
En op wat voor manier vergelijkt jouw voorbeeld met het openen van een Word-document?
Lijkt me eerder :

Als u in uw nieuw auto langs het huis van Pietje rijd met uw raam dicht, kan Pietje door een speciaale rotte tomaat alsnog uw interrieur vervuilen. Over 4 weken zorgen we ervoor dat uw ramen weer Pietje's special tomato Proof zijn :+
Nogal irrelevante redenatie, het gaat hier over een product dat moedwillig kapot wordt gemaakt door een kwaadwillende, niet een product dat vanzelf kapot ging bij het minste of geringste.

"Ja meneer, uw gloed nieuwe sportwagen kan nog wel eens een lekke band krijgen. Bijvoorbeeld als uw kwaje buurman een ijzeren pin onder uw banden legt. Verder niets ernstigs hoor, het zijn tubeless banden dus u vliegt niet zomaar van de weg af."

Verder ben ik het net oneens meet de "gestoorde staat' van de SW industrie, maar toch levert MS een heel degelijke prestatie tot zover.
Volgens LeBlanc zou het echter efficiŽnter zijn om gebruikers chocolade aan te bieden in ruil voor hun paswoorden, dan misbruik te willen maken van dit lek.
Gezien het feit dat deze 'chocolade anekdote' vaak als voorbeeld gebruikt wordt voor het gemak waarmee gebruikers hun wachtwoorden afgeven is dit niet echt een geruststellende mededeling. }:O
Het lijkt er overigens op dat Abaroni Microsoft niet op de hoogte heeft gesteld van zijn bevindingen alvorens deze te publiceren.
Ah.
Houdt dat in dat ie nu ook een schadeclaim of rechtzaak aan de broek krijgt omdat hij hierdoor willens en wetens anderen middelen verschaft computervredebreuk-delicten te plegen?

Een dergelijke "niet goedschiks dan maar kwaadschiks" houding heeft nogal eens de neiging om zich tegen je te keren.
Denk het niet, he. Microsoft is verantwoordelijk voor hun software. Als anderen de fouten vinden zijn ze heus niet verplicht dit direct bij Microsoft te melden. Dan had Microsoft zijn werk maar wat beter moeten doen. En verantwoordelijk voor de acties van hackers kan Abaroni ook niet gesteld worden. Daar zijn ze zelf verantwoordelijk voor.
Maar als ik aan mensen vertel dat bij mijn buren de deur op staat, dan is dat toch niet echt netjes...
Het is meer dat je vertelt dat je via een ijzerdraadje door een raam de sleutel om zou kunnen draaien die aan de binnenkant zit bij mensen die een raam open hebben.

Je kunt het niet zonder meer op iedereen toepassen en daarbij vereist het de nodige expertise (er is nog geen software om het lek uit te buiten).
Ik vraag me af of hij nou expres heeft gewacht tot patch tuesday voor hij het bekend maakte.
Maakt de klap voor MS wel een stuk groter lijkt mij.
in amerika met een geldende DMCA en anti terrorist act? JA: jarenlange opsluiting, foltering in een geheime basis en als ze je niet meer nodig hebben gooien ze je in het beste geval terug op straat zonder dat je ook nog maar schadevergoeding kan vragen.

terroristen kunnen met deze code exploits schrijven, die op governance systemen terecht laten komen en zo DOS'en uitvoeren
Ik geef mensen altijd mijn wachtwoorden als ze me chocolade aanbieden. Is dat schadelijk dan?
Ja, van te veel chocola krijg je pukkels.
Is nooit wetenschappelijk aangetoond...
Enkel als je zelf nog jonger dan 10 bent. En de aanbieder minimaal 65 oogt.

Anders is er niks aan het handje
misschien niet zo netjes dat hij M$ niet heeft ingelicht.
De reactie is natuurlijk weer te triest voor worden, het word weer afgewimpeld als onbelangrijk, terwijl door dat brakke Office pakket de voordeur weer eens 4-voudig wijd open staat.
Dus sla je slag, OpenOffice 2.2 is net uit en werkt fantastisch :).
Jammer genoeg is het intussen zo'n goede vervanger dat het net zo lek dreigt te worden...
Het is Mati Aharoni ipv Mati Abaroni meen ik :)
de zoveelste lek in office.. zolang ze snel updates dr voor uitbrengen is dat natuurlijk niet erg. maar laatste tijd lijkt het wel of dr steeds meer komen!
Er steeds meer komen? Vorige maand waren er juist helemaal geen 8)7
(voor office 12 tenminste)
En het fijne is dat je systeem met elke patch trager wordt. Service Packs willen nog wel eens goed in elkaar zitten, maar patches zijn echt bagger!
Het is helaas tegenwoordig de patching die de pc aanvalt.

Gemerkt hoeveel SVCHost.exe fouten je tegenkomt direct na het updaten? de Update engine gaat de laatste tijd iedere keer de fout in, je moet een DuoCore hebben om er geen probleem mee te hebben. Vervolgens komt er nog 1 bij: User32.dll wordt niet goed geplaatst.

Voor gebruikers thuis lijkt dit een enkel incidentje. Bij mijn bedrijf begin ik bijna te snakken naar een virus-aanval, want die kost me minder tijd!
.

Laat Microsoft z'n spullen nu eerst goed testen, voordat ze het uitbrengen (nee, niet de patch, maar de patching).
Over de user32.dll fout: klik hier
nu kan het best zo zijn da je al deze problemen hebt, maar bij ons op het bedrijf zien we die toch echt niet.
Nieuwe patches approven in wsus en huppakkee alles gaat vanzelf.

Kan niet zeggen dat we al 1 probleem hebben gehad en we spreken toch echt wel over heel veel pc's

Hoe doe jij je updates ? En wat bedoel j emet User32.dll wordt niet goed geplaatst ?
die reactie van harrald was na een "microsoft bash" reactie van mij en d5stick. alleen omdat jullie waarschijnlijk een filter op de messages hebben staan van: geen reacties onder huidige niveau (<je niveau), zien jullie die niet :Y)

edit: overbodig? sinds wanneer mag je niet meer behulpzaam zijn |:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True