Nu al zeer ernstig lek in Office 2007 ontdekt
Beveiligingsonderzoekers van eEye Digital Security hebben een zeer ernstig beveiligingslek in Microsoft Office 2007 ontdekt waardoor een aanvaller het systeem via een kwaadaardig bestand kan overnemen. Microsoft presenteerde haar nieuwe kantoorsoftware als de meest veilige tot nu toe en liet, als onderdeel van de security development lifecycle, de code regelmatig door auditors controleren.
"We waren dan ook verrast dat we zo snel na de lancering van Office 2007 een lek wisten te vinden" aldus Ross Brown. Het probleem is aanwezig in Publisher 2007, een kernonderdeel van de Office suite. De onderzoekers gebruikten de standaard manier van onderzoeken om het lek te vinden, wat volgens Brown een teken is dat Microsoft zijn werk niet goed heeft gedaan, of niet voldoende mensen hiervoor heeft ingeschakeld.
De softwaregigant is vorige week ingelicht, en laat weten het lek te onderzoeken en waar nodig actie te ondernemen.
"We waren dan ook verrast dat we zo snel na de lancering van
Office 2007 een lek wisten te vinden" aldus Ross Brown.
Waarom? Het is software van Microsoft, dat zichzelf blijft
bewijzen dat het buggy software produceert.
dat het allemaal beter zou worden met office 2007 de mond
snoert.
Windows is gewoon een lekke emmer, waar je iedere 2de week van de
week pleisters op moet plakken, om lekken te dichten.
Ik draai nu thuis lekker linux, veel beter, veel veiliger, veel meer
mogelijkheden, en kost ook nog eens niks.
Wat wil je nog meer mensen.
Kijk maar eens op http://www.distrowatch.org
Keuze genoeg
weer. Next...
Boeiend. Microsoft maakt een patch en die installeren we dan
gewoon
weer. Next...
maken. Microsoft is serieus bezig met Trusthworthy Computing
waardoor Vista misschien wel het veiligste werkstation OS is
op dit moment. Ik dacht dat Office 2007 ook op trustworthy
computing-ideeën gebaseerd was.
wat volgens Brown een teken is dat Microsoft zijn werk niet goed heeft
gedaan, of niet voldoende mensen hiervoor heeft ingeschakeld.
Wat is trouwens een standaard manier van onderzoeken. Waarom vonden
andere onderzoeksorganisaties het lek dan niet ?
Kortom teveel speculatie...
trail/beta/alpha beschikbaar is. Die fout moet er dus al
tijden in zitten. Nu is Office net gereleased en opeens komt
er een beveiligingsbedrijf dat een bug vind. Maw, heeft dat
bedrijf ook maanden liggen slapen net als MS...of...hebben
ze (net als bij Vista) lekker gewacht totdat het uit is en
dan een weekje later een bug melden. Staat natuurlijk wel
stoer en is goed voor free-publicity. Conslusie: MS software
is nog zo lek als een mandje (net als alle software) en eEye
Digital Security zijn niet te vertrouwen. What else is new?
Next!
Boeiend. Microsoft maakt een patch en die installeren we dan
gewoon
weer. Next...
En hier nog een patch voor dit, en dat en zus en zo....
Zelf overgestapt naar alternatief OS (en ja, ik kan alle
documenten openen en video's afspelen) en zodoende honderden
uren bespaart met het patchen en rebooten van mijn systeem.
Wat ik niet begrijp is dat mensen dit pikken van een bedrijf
dat honderden miljarden dollars op de bank heeft staan en
niks hiervan spendeert om teams het systeem te laten
doorzoeken naar bugs?
niet over zou kunnen nemen door het draaien van het
programma in een vrijwel rechtenloze context.
Door het ontbreken van een beveiligingslaag kan mijnheer
Diashowbouwer beheerder van je computertje worden. Da's pas
boeiend, dingen anders doen!
IE-6 zo veilig waren....met de MOND ja, maar concrete daden
bleven veelal uit.
Ach...microsoft verklaarde toch al eerder dat Windows 2000,
IE-6 zo veilig waren....met de MOND ja, maar concrete daden
bleven veelal uit.
Dat is natuurlijk niet waar. W2K is tot op heden zeer veilig gebleken; zeker
als server platform. De nixen hebben doorgaans met heel wat meer
problemen te maken gehad. Uitgezonderd de BSD clan dan.
Ach...microsoft verklaarde toch al eerder dat Windows 2000,
IE-6 zo veilig waren....met de MOND ja, maar concrete daden
bleven veelal uit.
Dat is natuurlijk niet waar. W2K is tot op heden zeer veilig
gebleken; zeker
als server platform. De nixen hebben doorgaans met heel wat
meer
problemen te maken gehad. Uitgezonderd de BSD clan dan.
Behalve veiligheid, zijn ook robuust- en schaalbaarheid
belangrijk. Misschien heb je daar ook vergelijkende
informatie over, als je toch bezig bent? ;)
Ach...microsoft verklaarde toch al eerder dat Windows 2000,
IE-6 zo veilig waren....met de MOND ja, maar concrete daden
bleven veelal uit.
Dat is natuurlijk niet waar. W2K is tot op heden zeer veilig
gebleken; zeker
als server platform. De nixen hebben doorgaans met heel wat
meer
problemen te maken gehad. Uitgezonderd de BSD clan dan.
Jij hebt zeker nooit een W2K beheerd!
Als je helemaal denkt dat *nix bakken meer problemen hebben,
dan ben je niet van deze wereld, sorry!
Conslusie: MS software
is nog zo lek als een mandje (net als alle software) en eEye
Digital Security zijn niet te vertrouwen. What else is new?
Next!
Die eerste krijg ik aardig mee, dat MS software zo lek is als een mandje,
maar leg mij nog eens uit waarom dat eEye niet te vertrouwen is? Ze
hebben in ieder geval nog het fatsoen om lekken te melden ipv te
misbruiken....
Die eerste krijg ik aardig mee, dat MS software zo lek is als een mandje,
maar leg mij nog eens uit waarom dat eEye niet te vertrouwen is? Ze
hebben in ieder geval nog het fatsoen om lekken te melden ipv te
misbruiken....
Sommige onderzoekers melden een lek vlak na een release, zodat
ze "goede" sier maken. Ik weet niet of dat ook voor eEye geld.
Ach...microsoft verklaarde toch al eerder dat Windows 2000,
IE-6 zo veilig waren....met de MOND ja, maar concrete daden
bleven veelal uit.
Dat is natuurlijk niet waar. W2K is tot op heden zeer veilig
gebleken; zeker
als server platform. De nixen hebben doorgaans met heel wat
meer
problemen te maken gehad. Uitgezonderd de BSD clan dan.
Behalve veiligheid, zijn ook robuust- en schaalbaarheid
belangrijk. Misschien heb je daar ook vergelijkende
informatie over, als je toch bezig bent? ;)
Als win2k zo veilig zou zijn, dan waren we ondertussen niet bij service pack
4 aanbeland..!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
