Microsoft: geen patch dinsdag voor Excel-veiligheidslek

Microsoft heeft laten weten dat het op patch tuesday drie updates zal uitbrengen, waaronder één met het stempel 'kritisch'. Een patch voor een gevaarlijk lek in Excel ontbreekt echter, ondanks dat de bug al actief wordt misbruikt.

De bug in het xls-bestandformaat, die voorkomt in alle versies van Excel, wordt volgens diverse beveiligingsbedrijven inmiddels door kwaadwillenden actief benut. Met behulp van een gemanipuleerd Excel-bestand kan een pc met malware worden besmet. Hoewel Microsoft een security advisory over de kwestie heeft uitgebracht, zal de komende patchronde nog geen fix bevatten. Verder stelt de softwaregigant dat bij hen slechts een beperkt aantal aanvalspogingen met behulp van de exploit bekend is. Tot er een update uitkomt, zouden Excel-gebruikers kunnen uitwijken naar de Office Document Open Confirmation Tool of een account met beperkte rechten gebruiken.

In de - bewust summier gehouden - beschrijving van de komende patchronde, beschrijft Microsoft drie updates voor Windows 2000, XP, Vista en Windows Server 2003 en 2008. De als kritiek aangemerkte patch moet een probleem oplossen waarbij aanvallers een computer op afstand kunnen overnemen. De twee als 'belangrijk' omschreven patches moeten spoofing-aanvallen tegengaan.

Reacties (31)

mokkol 6 maart 2009 23:37

Wel raar dat de bug nu pas gevonden is terwijl ie in alle excel versies is.... Wel dom dat ze het niet even snel gefixt hebben. Windows heeft al een slechte naam met al de virussen die actief zijn op windows.

Nijn @mokkol • 7 maart 2009 01:11

"Even snel fixen" is er absoluut niet bij als je het hebt over een product als Windows of Office. Honderdduizenden programma's, tooltjes, macro's enz bouwen voort op die code. Als je die "even snel fixed" is er een goeie kans dat je een deel van deze software gaat slopen. De gevolgen zijn dan vrij groot. Systeembeheerders gaan er vanuit dat ze simpele security updates zonder problemen kunnen uitrollen. Een goeie zal hem wel even testen op een testsysteem, maar daar blijft het bij. Als vervolgens blijkt dat het halve bedrijf er een paar uur uit ligt hebben ze in Redmond geen leuke dag. Immers, hetzelfde zal dan bij diverse bedrijven over de hele wereld gebeuren.

Zelfde natuurlijk met consumentensystemen. Die zijn ook niet blij als na een update de boel niet meer werkt. Gaan ze de automatische updates uitschakelen, meer kansen voor virussen en bovendien imagoschade voor MS alom.

Kortom, "even snel fixen" is onmogelijk. MS heeft daar een heel centrum met talloze computerconfiguratie en images voor waarop ze alle updates uitvoerig testen. Bij een fout gaat het weer terug naar de ontwikkelaars die het allemaal weer mogen oplossen.

Persoonlijk denk ik dat het niet gek is om te denken dat er bij het testen van de Excel fix daadwerkelijk een compatibaliteitsprobleempje is gevonden. Waarschijnlijk is MS dan nu bezig dat óf intern op te lossen óf een extern bedrijf op hun donder aan het geven omdat ze Excel op een foute / rare manier aanspreken waardoor hun software na de update niet meer werkt. (Je moet je voorstellen dat het niet ongewoon is dat softwarehuizen gebruik maken van 'undocumented features' om hun software net iets beter te laten draaien. Naar hun mening dan) Hoe dan ook, als het belangrijke software is, dan zal opgelost worden voordat de update uitkomt.

Het daadwerkelijke programmeren is niets in vergelijking met wat er bij komt kijken.

[Reactie gewijzigd door Nijn op 26 juli 2024 04:16]

jeroenathome 6 maart 2009 20:20

Toch jammer dat MS geen update voor excel uitbrengt. Ik ga er van uit dat het lastig is om het lek te dichten zonder dat de update problemen veroorzaakt of compatibel blijft met alle versies die er van het bestandsformaat zijn.

wooley 6 maart 2009 21:08

werkt dit ook op open office?

Douweegbertje @wooley • 6 maart 2009 21:32

denk het niet.
Bug zit denk ik in excel, en wordt geactiveerd met een excel bestand.
De bug zit zover ik weet niet in het excel bestand die geactiveerd moet worden..

Verwijderd 6 maart 2009 20:34

Dit betekent in weze alleen gevaar als je excel bestanden van anderen opent op je pc?

PolarBear @Verwijderd • 6 maart 2009 20:44

En als je geen virusscanner hebt en als je admin bent ingelogd.

Mawlana @PolarBear • 6 maart 2009 21:49

Dat laatste (inloggen met een admin-account) is een belangrijke factor. Simpele gebruikers zouden simpelweg niet moeten inloggen met een admin-account...

Gelukkig werkt men binnen (grote) organisaties vaak niet met admin-accounts voor de medewerkers/gebruikers. Dat scheelt al een hoop ellende.

Quacka @Mawlana • 6 maart 2009 22:45

Denk jij dat it-medewerkers geen virussen kunnen openen?
Eigenlijk zou niemand moeten werken onder admin, dus ook it'ers niet: maar iedereen (die dit nodig heeft) zou wel een admin-account moeten hebben voor als ze software moeten installeren. Immers krijg je in windows als je geen admin bent bij een installatie keurig de melding of je een installatie onder een andere naam wilt uitvoeren.

bwt @Quacka • 7 maart 2009 00:43

Precies - en dat doe ik daarom ook niet als windows systeem beheerder. Net als mijn 2 collega's heb ik een gewoon user account zoals alle andere gebruikers.
Alleen voor admin taken gebruik je de je eigen admin account.

Ventieldopje @bwt • 7 maart 2009 18:57

Dan ben je dus alsnog admin ...

kimborntobewild @bwt • 11 maart 2009 19:41

Bijna alle taken zijn admin-taken als je netwerkbeheerder bent.

frickY @Verwijderd • 8 maart 2009 14:44

XLS documenten kunnen ook inline in webpagina's getoond worden.
Ik ken het lek verder niet, maar grote kans dat hij zo ook te exploiten is.

Het openen van een inline Excel-document in een iframe heeft geen toestemming van een gebruiker nodig.

Moning2 @Verwijderd • 6 maart 2009 20:39

Het kan (volgens mij) alleen gebeuren als iemand kwaadwillig deze bug gebruikt in zijn excel bestand, dus zolang je geen VET LEUK MAN.xls(x) opent zit je goed

mashell @Moning2 • 6 maart 2009 21:51

Naar de directeur van bedrijf X stuur je natuurlijk "verkoop prognose bedrijf Y.xls" en 10 tegen 1 dat ie die gewoon opent.

guitarzphreak @Moning2 • 7 maart 2009 06:41

Helaas opent 90% dat soort mailtjes wel, mensen denken er niet bij na.

Zarc.oh @Moning2 • 7 maart 2009 17:59

Verspreiding van wormen en virussen binnen bedrijfsnetwerken kan via dergelijke bestanden een enorme vlucht nemen.
Bijvoorbeeld:
- medewerker A opent verkeerde bijlage uit een e-mail
- medewerker A heeft schrijftoegang tot x aantal xls bestanden op een netwerkshare X
- kwaadaardige code bewerkt alle xls bestanden die gevonden worden op netwerkshare X
- medewerker B heeft toegang tot netwerkshare X en netwerkshare Y
- medewerker B op xls bestanden vanaf netwerkshare X
- kwaadaardige code zal zich ook xls bestanden op netwerkshare Y besmetten
etc etc...

Binnen no time zijn al je xls bestanden besmet...

Ventieldopje @Moning2 • 7 maart 2009 18:56

De gene van "nude pictures free.xls" die vallen natuurlijk al meteen door de mand

SuperNull @Dancing_Animal • 7 maart 2009 09:44

Lezen.

Tot er een update uitkomt, zouden Excel-gebruikers kunnen uitwijken naar de Office Document Open Confirmation Tool of een account met beperkte rechten gebruiken.

Als je netjes je UAC aanzet heb je nergens last van dus.

Als je niet anders kan dan admin@XP draaien kan je voorlopig eff eerst alles met OOo openamken (om te kijken of het een legetiem document is).
OOo's xls support is ge-reverse-engineerd dus ik neem aan dat die niet vatbaar is.

Verwijderd @SuperNull • 7 maart 2009 10:32

OOo's xls support is ge-reverse-engineerd

Misschien in de vorige eeuw nog wel maar OOo gebruikt al flink wat jaren gewoon ook de formaat documentatie die door MS (gratis) beschikbaar werd gesteld.

kimborntobewild @SuperNull • 11 maart 2009 19:45

Als je netjes je UAC aanzet heb je nergens last van dus.

Alleen is UAC zo uitermate ergerlijk dat iedereen die dat kan, 't uit zet.

Dreamvoid @Dancing_Animal • 7 maart 2009 15:27

Tsja, OSX kon je tot vorig jaar ook remote binnenwandelen door een simpel jpegje te openen in Safari. Da's het mooie van stack overflows. Zolang op de mainstream OS'en (excl Blackberry OS) nog niet alle user-initiated programmas in managed code omgevingen draaien zal dat nog wel even doorgaan. (en zelfs in zulke omgevingen kan de VM zelf kwetsbaar zijn, maar dat wordt al een stuk lastiger).

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 04:16]

SuperNull @Dreamvoid • 7 maart 2009 23:31

Die opkomst in VM's op de desktop verwacht ik ook.
Zodra de videokaart makers ook met VM's rekening gaan houden met Intel-VT/AMD-V-achtige technologien kan het echte feest beginnen. Dan kan je namelijk ook je DirectX10 spul (bij voorbeeld) zonder problemen virtueel draaien met weinig performance verlies.
Als je dat combineert met lichte VM's die maar voor een paar taken zijn ingestelt en die goed in de basis UI intergreren wordt het voor de 'gewone' markt aantekkelijk.
Het zou aardig wat problemen oplossen;

-Je hebt nooit het probleem dat ''jou'' OS iets niet kan of de verkeerde libraries heeft of wat dan ook.
-Malware blijft beperkt tot een klein deel van de compu. Social engineering die mensen overhaalt om met admin rechten iets op de host te installen kan nog altijd wel, maarja dat is niet echt te stoppen
-DRM blijft beperkt tot een klein deel van de compu. Jou EA game, online video-verhuur boer, etc.. mogen echt ALLE crapware installeren die ze willen, in hun eigen zandbak.

Het probleem is dan wel dat het merk van het host OS vrij onbelangrijk wordt, en daarom zullen MS/Apple denk ik niet echt graag mee willen werken met zo'n modulaire opzet op de desktop.

[Reactie gewijzigd door SuperNull op 26 juli 2024 04:16]

guitarzphreak @Bilel • 7 maart 2009 06:46

Aan de manier dat je praat .. je bent geen programmeur.

En nee, niet persee moet de rest van de code veranderd worden, maar het gaat erom dat andere programma's en onderdelen ook gebruik maken van datzelfde stukje code (waarschijnlijk) en ze daar problemen moeten voorkomen. Daar bovenop moet het werken op allle besturingssystemen en moeten ze dat allemaal testen.

Als ze een patch niet hebben uitgebracht komt dat omdat ze er nog niet klaar mee zijn (inclusief het testen van elk scenario op elke configuratie .. duurt ook effe). Luiheid is helemaal niet the point, die mensen moeten ook hun brood verdienen...

Ventieldopje @guitarzphreak • 7 maart 2009 18:59

En hoe verdien je het beste je brood? ... Luiheid. Microsoft wist volgens mij al langer van te voren dat het deze bug bevatte maar heeft er niks op uit gedaan want ja, als het niet naar buiten kunt zal niemand het merken.

compufreak88 @Ventieldopje • 7 maart 2009 22:31

Met luiheid valt geen cent te verdienen (over het algemeen). Je moet er altijd nog wat voor doen.

Theft_eXP @Bilel • 7 maart 2009 02:43

Vista Ultimate geeft deze "bug" niet, maar Office Excel in ALLE versies.
Daarnaast is het compatible houden van de diverse software nogal een uitdaging, zoals Nijn allang zei, en als u als programmeur is zon reactie nogal overdreven. Dan weet u net zo goed als ik, alles testen is onmogelijk, je moet in je eentje net zo slim/tricky zijn als de rest van de wereld, wat onmogelijk is.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: