Over welk IE-lek heb je het precies?
Je hebt het toch niet over dít, neem ik aan?
https://www.security.nl/posting/378402/Waarschuwing+voor+nieuw+lek+in+Internet+Explorer+10
Daarvoor is na de tijdelijke Fix it oplossing
https://www.security.nl/posting/379006/Microsoft+fix+voor+ernstig+lek+in+IE9+en+IE10
op 11 maart de definitieve patch uitgebracht:
https://www.security.nl/posting/380696/Microsoft+dicht+dinsdag+lekken+in+Windows%2C+IE+en+Silverlight
Heb je het over een ánder IE-lek, dan is me even ontschoten wat je kunt bedoelen.

O, of je doelde misschien híerop?
https://www.security.nl/posting/381427/IE11%2C+Firefox%2C+Safari%2C+Flash+Player+en+Adobe+Reader+gehackt
Dat zal met de patchronde van april gepatcht worden, vermoed ik.
Gezien het feit dat het een lek betreft dat tijdens Pwn2Own is gebleken maar nog niet wordt misbruikt, zal Microsoft er vast geen noodpatch voor uitbrengen, maar het op de reguliere patchdag verhelpen.

Dat klopt uiteraard.
Dat was van net na de patchdag van maart, en gezien het feit dat dat lek tijdens Pwn2Own is gebleken maar nog niet wordt misbruikt, zal Microsoft er vast geen noodpatch voor uitbrengen, maar het op de reguliere patchdag verhelpen.
En dat is natuurlijk geen nieuws, want zo is Microsoft's patch-beleid, zoals we weten.
Ik verdedig dat overigens niet, noch val ik dat aan, ik constateer slechts dat dat bekend Microsoft beleid is.

Niet om het één of ander, maar een Office lek patchen is wel wat anders dan puur een browserlek dichten. Denk even aan alle versies die nog in omloop zijn omdat gebruikers te beroerd zijn om een upgrade uit te voeren - wat dus uitgebreid testen vereist, en de ontelbare Office add-ins die in omloop zijn en die natuurlijk ook niet mogen omvallen na de patch. Niet vergelijkbaar mijns inziens met een Chrome patch, Firefox patch of "lager niveau" onderdeel.

Het hele punt is juist, dat Microsoft een vreselijk slecht patch beleid heeft. Dat verdedig je niet met "zo is Microsoft's patch-beleid", daarmee herhaal je alleen het probleem.

Met aanvullende precieze ernst
(en iets meer aandacht voor de Mac Os X gebruikers)

Info : Security TechCenter - Microsoft Security Advisory (2953095)
http://technet.microsoft.com/en-us/security/advisory/2953095

- Moet dan ook je Word applicatie al besmet zijn?
- Hoe vindt die infectie van de Word applicatie dan plaats?

- Dus alleen wanneer je outlook als emailclient gebruikt?
Lang niet iedereen gebruikt outlook, zeker niet op de Mac,
dat scheelt alweer.

- Kijk; weer eens geïllustreerd waarom je niet standaard onder een administrator account moet werken.
Welke lezer hier doet dat nog?
- Aan de slag : standaard account erbij en switchen maar.

- Wat betreft de Mac is zeer waarschijnlijk het openen van .rtf files standaard toegewezen aan TextEdit application.
Check het even door een rtf file te zoeken, het éénmaal aan te klikken, informatie oproepen (met cmd i commando) en te kijken welke applicatie om te openen daar standaard staat vermeld.
Wanneer het toch Ms Office is kan je dat veranderen door een andere applicatie te kiezen (TextEdit in dit geval).

Tip: Wat veel Mac gebruikers niet weten is dat je met dit kleine standaard programmaatje prima tekstjes kan opmaken, simpel en lichtgewicht voor heel veel geschikt ; kijk er eens naar, je leert het zo.

Nog eens door Microsoft samengevat :


Kwetsbaarheid geldt dus alléén voor Mac Office versie van 2011.

Zie overigens nog genoeg Mac gebruikers met Office versies 2008 en zelfs 2004 werken, mocht dat voor jou - lezer - gelden, kijk dan toch eens uit naar bijvoorbeeld het gratis LibreOffice voor Mac.
Want die andere oude Office versies zijn nu wel niet kwetsbaar, ze worden ook niet meer ondersteund met security fixes (even vooruitlopend op volgende Office zero days, maar maak je ook niet al tè druk).
Het LibreOffice pakket is gratis en wordt ondersteund op de meeste OS X systemen.

Belangrijk gemist punt in de advisory : de geboden oplossing in de vorm van het gebruik van EMET werkt natuurlijk niet voor de Mac!!
Niet zo belangrijk (?) een oplossing voor Mac gebruikers te bieden of hadden ze gewoonweg geen idee wat Mac gebruikers dan kunnen doen?

Nog een reden om bijvoorbeeld op zijn minst LibreOffice erbij te nemen, het went snel.
Voor standaard gebruikers vallen de kleine schoonheidsissues aangaande lay out veranderingen bij uitwisseling van doumenten wel mee (kies niet standaard voor extensie .odf maar wel voor .doc), maar soms is het gedoe, wat je overigens ook tussen MsOffice versies en gebruikers onderling kunt hebben.
Goed opmaken van teksten blijft voor velen lastig, los van gebruikte software; helaas onontkoombaar.

LibreOffice voor de Mac
https://nl.libreoffice.org/
https://nl.libreoffice.org/download/?type=mac-x86&version=4.2.2&lang=nl
(of een andere taal natuurlijk)

Omdat deze kwetsbaarheid in IE onder de noemer "responsible disclosure" valt en niet actief misbruikt wordt in het wild. Als je dit Word-lek vergelijkt met bedrijven als Oracle of een OS in de Unix-hoek (Mac ook trouwens) is de patch-cyclus uitermate snel. Bij actief misbruikte MS-lekken wordt er ook vrijwel altijd direct een Fix-it uitgebracht. En veruit de meeste malware gebruikt sowieso pas kwetsbaarheden ná het uitrollen van een patch (reverse engeneering).


Dan moet je beter kijken, VUPEN heeft op het laatste moment aangegeven dat de Java plug-in-hack niet werd gebruikt, waarschijnlijk vanwege het lage prijzengeld dat daar tegenover stond. Op de vrije markt kunnen ze daar veel meer voor vangen ;]


+1

Wel eens van Android gehoord?

Maar ik verdedigde dat dan ook niet, meen ik toch?
Ik schreef:

Wie EMET zo heeft ingesteld dat het ook met Microsoft Office werkt, is veilig.
Helaas, heb ik de Caller functie voor Microsoft Office moeten uitschakelen, anders wordt Word en Excel
voortdurend door EMET uitgeschakeld.
Een dilemma dus.

Zijn gedegradeerd naar derde divisie. Is te makkelijk. Te duur.

@Gisteren, 13:08 door Anoniem

Je kunt wel reclame maken voor LibreOffice, maar dat is een duiveltje in een doosje. Het ligt voor de hand dat Microsoft Office inmiddels intrinsiek minder lekken bevat dan LibreOffice. LibreOffice maakt gebruik van libraries die niet van de beste kwaliteit zijn. Dat heeft grote invloed op het aantal lekken. De stabiliteit van LibreOffice is ook niet beter dan Microsoft Office, en dat heeft vaak een voorspellende waarde op het aantal lekken.

In de praktijk is het gebruik van LibreOffice alleen veiliger als de tegenstander daar niet van op de hoogte is. Het gaat hier tenslotte om doelgerichte aanvallen, dat wil zeggen: speciaal geprepareerde exploits (vaak zero day) ingezet bij specifieke doelen.

Als EMET voor Windows een security oplossing is, dat niet op de Mac werkt, dan is het het overwegen waard
even of misschien zelfs definitief te werken met een ander of nieuwer Office pakket danwel een andere teksteditor op de Mac.

Er is boven Office 2011 geen nieuwer Office pakket voor de Mac beschikbaar dat een oplossing biedt (of wel?) :
Office for Mac 2013 bestaat niet voor de Mac en wat ik lees over Mac Office 365 is dat het feitelijk Office 2011 betreft onder een ander Licentie model.
Of heeft Ms het in de 2011 variant Office 365 dan wel verholpen en zou je dan feitelijk alleen betalen voor extra security support? Hoe zit dat?
Wie het weet mag het zeggen, vooralsnog gaat je dat dan jaarlijks extra geld kosten want je zit dan voortaan vast aan een abonnements model, dat moet je willen.

Voor de kwetsbaarheid in Word for Mac 2011 is nu geen patch beschikbaar.
Over de vorm van het soort misbruik is weinig informatie, ook niet voor de Mac, maar laten we het wel serieus nemen en kijken naar een veilige (korte of lange termijn) oplossing; dat probeerde ik eerder hier te doen door met een workaround in de vorm van bijvoorbeeld alternatieven (meervoud) te komen.

In alternatieve teksteditors of Office pakketten voor de Mac schijnt de kwetsbaarheid niet te werken, en inderdaad ook niet in de niet meer ondersteunde Mac Offices 2008 en 2004 (dan zou je in sommige gevallen moeten downgraden, denk niet dat gebruikers dat gaan doen).

Andere Offices of teksteditor, dan heb je o.m. de keuze uit gebruik van bijvoorbeeld :

- Apple's teksteditor TextEdit voor je .rtf of zelfs je .doc files. Maar het is maar een heel basic editor-tje.
- LibreOffice, een zelfstandig gratis en open source Office pakket waarmee heel goed te werken valt.

Eerder niet genoemd maar dan nog even door om de reclame associatie wat te limiteren ;-) :

- iWork van Apple zelf met o.a. de tekstverwerker Pages.
- OpenOffice dat vergelijkbaar is met LibreOffice (verschillen met voor en tegens laat ik aan anderen uit te leggen).



Vind het wel een leuke vergelijking maar ik kan het niet zo plaatsen.
Heb nog geen duiveltjes zien springen op de Mac, maar de-installeer inderdaad en bij voorkeur zaken als ze een onwenselijk hoog 'Doos van Pandora' gehalte hebben (vul zelf maar in stilte in, accenten liggen voor iedereen anders ;-).
Als het niet veilig is of ongebruikt gaat het eraf, wel zo veilig, kan misschien ook voor Office pakketten gelden (?) ; Mijn aandacht heb je.

Daarnaast lees ik namelijk eigenlijk nooit iets over kwetsbaarheden in LibreOffice, dat komt niet door gebrek aan interesse overigens.
Nieuwsgierigheid in positieve zin is gewekt.

Alvast een zoektocht in de nieuwsberichten op Security.nl geeft geen resultaten voor LibreOffice, wel nog een oud bericht gevonden aangaande OpenOffice, daarnaast een heleboel resultaten als het gaat over MsOffice of MsWord
(zou dat alleen maar aan de keuze van de redactie liggen? Het zou kunnen hoor, ik weet het niet).
Op het internet vind ik wel wat resultaten van exploits, kwetsbaarheden voor LibreOffice die dan ook weer gepatched zijn.
Ms patched haar Office ook dus beiden werken aan security.

Het verschil dat overblijft is dat als je zit met een MsOffice waar niet gepatchte kwetsbaarheden in zitten of een MsOffice versie die gewoonweg niet meer supported is (Office for Mac 2004 / 2008) het te overwegen is om te kijken naar gebruik van een Office pakket of tekstverwerkings programma dat op zijn minst wèl supported is of op dit moment in ieder geval veilig te gebruiken is omdat de MsWord exploit daarin niet werkt.

'No harm done' als je er dan voor kiest om een tweede pakket (al dan niet tijdelijk, en hey; LibreOffice is gratis) erbij te gebruiken of het één door het ander te vervangen, dat is uiteindelijk aan de gebruiker zelf.
Heel praktisch werkbaar en een oplossing bij gebrek aan 'officiële' security oplossingen voor de Mac.


Wat betreft je verhaal over de kwetsbaarheden in LibreOffice ben ik wel benieuwd naar een meer specifieke onderbouwing.
Niet met als doel om het te kunnen bestrijden of neer te sabelen, niet voor het welles/nietes, maar om ervan te leren of het op zijn minst inhoudelijk te kunnen beoordelen.

Zou je de onderbouwende info willen delen?
Het scheelt mij en anderen ook wat zoekwerk naar de info waar je op doelt.
Dit mede in het kader van een betere afweging bij het vergelijken van pakketten of misschien wel voor het werken aan oplossingen voor de problemen die jij ziet of hebt gelezen.

Volgens mij zijn hier best heel wat lezers die LibreOffice gebruiken en is het voor iedereen interessant om te weten wat LibreOffice eventueel dan zo kwetsbaar maakt onder Windows, Linux & Mac OS X.

Kunnen we daarna kiezen : MsOffice, of LibreOffice, of,.. , of een combinatie natuurlijk!

Alvast bedankt,
Ben Benieuwd

Mac Word 2011
Ietsje later, overlappende vaststellingen
http://www.thesafemac.com/beware-opening-rtf-files-in-office-2011/