Microsoft dicht ernstige beveiligingslekken in Outlook
Microsoft heeft buiten de vaste patchcyclus om updates voor Office Outlook uitgebracht die twee beveiligingslekken verhelpen waardoor een aanvaller in het ergste geval computers kan overnemen. Een kwetsbaarheid in de manier waarop Outlook speciaal geprepareerde e-mailberichten verwerkt zorgt ervoor dat een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van malware.
Om de kwetsbaarheid uit te buiten kan een aanvaller een e-mail met een speciaal geprepareerd bestand versturen. De gebruiker moet dit bestand nog wel openen. De tweede kwetsbaarheid betreft een informatielek. Door de gebruiker een speciaal documentbestand te laten openen is het mogelijk om de inhoud van het geheugen te achterhalen. Hiermee kan een aanvaller vervolgens de data of computer van de gebruiker compromitteren, aldus Microsoft. De beveiligingslekken zijn aanwezig in Microsoft Office 2007, 2010, 2013 en 2016.
Dat is nog de vraag. Microsoft vermeldt niet of Outlook 2003 kwetsbaar is omdat MS dit programma niet meer ondersteunt.
"Versions or editions that are not listed are either past their support life cycle or are not affected."
Jawel: de laatste updates komen uit op 10 oktober dit jaar.
en dan straks als je een probleempje heb met malware, dan jij de gebruiker krijgt de schuld hoor!
here is a thought:
als software niet meer support wordt, moet de licentie ook vervallen en de software niet meer bruikbaar worden. dat is natuurlijk heel radicaal en de pleuris breekt uit in het begin, maar het zal er wel voor zorgen dat gebruikers netjes mee migreren, en als dat niet in het tempo kan dat door de software fabrikant commercieel afgedwongen wordt, dan zal de marktwerking er waarschijnlijk voor zorgen dat de fabrikant gecorrigeerd wordt in haar gedrag. het is bij aanschaf ook meteen duidelijk wat de werkelijke software licentie kosten zijn in grote organisaties over meerdere jaren. geen oude lijken meer in de kast bij IT diensten, wel fabrikant die wat meer naar klant zal moeten bewegen ipv met een nieuw UI de nieuwe kleren vande kijzer proberen te verkopen.
dreaming on :)....
en dan straks als je een probleempje heb met malware, dan jij de gebruiker krijgt de schuld hoor!
here is a thought:
als software niet meer support wordt, moet de licentie ook vervallen en de software niet meer bruikbaar worden.
Omgekeerde wereld, van een product mag je verwachten dat het zonder gebreken wordt geleverd, en al helemaal zonder gebreken die schade kunnen toebrengen. De software had zonder bugs opgeleverd moeten worden; eigenlijk zouden software-fabrikanten levenslang updates moeten blijven uitbrengen
Omgekeerde wereld, van een product mag je verwachten dat het zonder gebreken wordt geleverd, en al helemaal zonder gebreken die schade kunnen toebrengen. De software had zonder bugs opgeleverd moeten worden; eigenlijk zouden software-fabrikanten levenslang updates moeten blijven uitbrengen
Dat betekent dat je regelmatig onderhoud moet doen. Tanken met een auto is niet gratis. Garantie is voor een beperkte termijn. Onderhoud en reparatie is niet gratis, verplicht keuringen verzekeringen en vaardigheidsproeven zijn niet gratis.
Het zou gebruikers verplicht moeten worden die verantwoordelijkheden zelf ter hand te nemen anders is het enige een wettelijke verplichting tot dat soort kennis en investeringen.
is naief en theoretisch, dus gaat niet gebeuren of uberhaupt maar helpen in de echte wereld.
Altijd het makkelijkste, de gebruiker de schuld geven. Ik ben het wel eens dat de gebruikers getraind moeten worden op dit soort aanvallen. Maar als deze een keer zijn / haar dag niet heeft dan moet het beveiligingssysteem ook zijn werk doen natuurlijk.
Dat is gewoon de fijnste versie. Maar nou wel best onveilig wegens geen updates.
Mis ik iets waarom deze 2 patches niet tot 8 augustus op de plank konden blijven? Misschien het einde van een responsible disclosure deadline? Alhoewel in dat laatste geval het risico op misbruik toch hoger dan 2 zou moeten zijn...
alle exploits vereisen gebruikers interactie... iemand moet een computer op zijn minst aangezet hebben :).
wat ik dus bedoel, omdat er dus 'gebruikerinteractie' nodig is zou ik niet meteen een ander risico inschatting aan geven. voor elke exploit zodra het kan de patches beschikbaar stellen voor IT diensten zodat die zelf een locaal van toepassing zijnde risico inschatting kunnen doen.
Ze vervangen security-updates uit juni (o.a. https://support.microsoft.com/nl-nl/help/3203467/descriptionofthesecurityupdateforoutlook2010june13-2017) die last hadden van bugs. Om die bugs op te lossen, waren eerder al twee nieuwe fixes uitgebracht, die allebei weer door Windows teruggetrokken werden wegens het veroorzaken van nieuwe bugs.
~Blondie
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
