image

Microsoft dicht ernstige beveiligingslekken in Outlook

zaterdag 29 juli 2017, 10:30 door Redactie, 17 reacties

Microsoft heeft buiten de vaste patchcyclus om updates voor Office Outlook uitgebracht die twee beveiligingslekken verhelpen waardoor een aanvaller in het ergste geval computers kan overnemen. Een kwetsbaarheid in de manier waarop Outlook speciaal geprepareerde e-mailberichten verwerkt zorgt ervoor dat een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van malware.

Om de kwetsbaarheid uit te buiten kan een aanvaller een e-mail met een speciaal geprepareerd bestand versturen. De gebruiker moet dit bestand nog wel openen. De tweede kwetsbaarheid betreft een informatielek. Door de gebruiker een speciaal documentbestand te laten openen is het mogelijk om de inhoud van het geheugen te achterhalen. Hiermee kan een aanvaller vervolgens de data of computer van de gebruiker compromitteren, aldus Microsoft. De beveiligingslekken zijn aanwezig in Microsoft Office 2007, 2010, 2013 en 2016.

Reacties (17)
29-07-2017, 10:51 door Anoniem
typisch weer de schuld van de gebruiker die op een linkje zou kunnen klikken.
29-07-2017, 10:58 door Anoniem
Gelukkkig niet in Office 2003.
29-07-2017, 11:40 door Anoniem
Door Anoniem: Gelukkkig niet in Office 2003.
Waarschijnlijk WEL in Office 2003. Microsoft ondersteunt Office 2003 niet meer. Daarom wordt het niet genoemd.
29-07-2017, 12:29 door Anoniem
Goed dat Microsoft deze lekken dicht, Office is nog steeds mijn favoriete kantoorprogramma en dan met name Outlook vind ik zeer prettig werken.
29-07-2017, 14:14 door Anoniem
Voor office 2007 is de-installeren ook een optie,omdat het niet meer word ondersteunt.
29-07-2017, 15:35 door Anoniem
2003 is out of support. Dat er geen update komt wil niet zeggen dat er niets mis is...
29-07-2017, 16:16 door Hyper
Door Anoniem: Gelukkkig niet in Office 2003.

Dat is nog de vraag. Microsoft vermeldt niet of Outlook 2003 kwetsbaar is omdat MS dit programma niet meer ondersteunt.
"Versions or editions that are not listed are either past their support life cycle or are not affected."
29-07-2017, 17:13 door Anoniem
Door Anoniem: Voor office 2007 is de-installeren ook een optie,omdat het niet meer word ondersteunt.

Jawel: de laatste updates komen uit op 10 oktober dit jaar.
29-07-2017, 18:10 door Anoniem
"2003 is out of support. Dat er geen update komt wil niet zeggen dat er niets mis is..."

en dan straks als je een probleempje heb met malware, dan jij de gebruiker krijgt de schuld hoor!

here is a thought:

als software niet meer support wordt, moet de licentie ook vervallen en de software niet meer bruikbaar worden. dat is natuurlijk heel radicaal en de pleuris breekt uit in het begin, maar het zal er wel voor zorgen dat gebruikers netjes mee migreren, en als dat niet in het tempo kan dat door de software fabrikant commercieel afgedwongen wordt, dan zal de marktwerking er waarschijnlijk voor zorgen dat de fabrikant gecorrigeerd wordt in haar gedrag. het is bij aanschaf ook meteen duidelijk wat de werkelijke software licentie kosten zijn in grote organisaties over meerdere jaren. geen oude lijken meer in de kast bij IT diensten, wel fabrikant die wat meer naar klant zal moeten bewegen ipv met een nieuw UI de nieuwe kleren vande kijzer proberen te verkopen.

dreaming on :)....
30-07-2017, 00:34 door Anoniem
Door Anoniem: "2003 is out of support. Dat er geen update komt wil niet zeggen dat er niets mis is..."

en dan straks als je een probleempje heb met malware, dan jij de gebruiker krijgt de schuld hoor!

here is a thought:

als software niet meer support wordt, moet de licentie ook vervallen en de software niet meer bruikbaar worden.

Omgekeerde wereld, van een product mag je verwachten dat het zonder gebreken wordt geleverd, en al helemaal zonder gebreken die schade kunnen toebrengen. De software had zonder bugs opgeleverd moeten worden; eigenlijk zouden software-fabrikanten levenslang updates moeten blijven uitbrengen
30-07-2017, 10:13 door karma4
Door Anoniem:
Omgekeerde wereld, van een product mag je verwachten dat het zonder gebreken wordt geleverd, en al helemaal zonder gebreken die schade kunnen toebrengen. De software had zonder bugs opgeleverd moeten worden; eigenlijk zouden software-fabrikanten levenslang updates moeten blijven uitbrengen
Waanzinninge veronderstelling van levenslange updates. Ook software heeft last van veroudering ofwel bitrot.
Dat betekent dat je regelmatig onderhoud moet doen. Tanken met een auto is niet gratis. Garantie is voor een beperkte termijn. Onderhoud en reparatie is niet gratis, verplicht keuringen verzekeringen en vaardigheidsproeven zijn niet gratis.
Het zou gebruikers verplicht moeten worden die verantwoordelijkheden zelf ter hand te nemen anders is het enige een wettelijke verplichting tot dat soort kennis en investeringen.
30-07-2017, 10:19 door Anoniem
"van een product mag je verwachten dat het zonder gebreken wordt geleverd"

is naief en theoretisch, dus gaat niet gebeuren of uberhaupt maar helpen in de echte wereld.
30-07-2017, 11:25 door Anoniem
Door Anoniem: typisch weer de schuld van de gebruiker die op een linkje zou kunnen klikken.

Altijd het makkelijkste, de gebruiker de schuld geven. Ik ben het wel eens dat de gebruikers getraind moeten worden op dit soort aanvallen. Maar als deze een keer zijn / haar dag niet heeft dan moet het beveiligingssysteem ook zijn werk doen natuurlijk.
31-07-2017, 09:40 door Anoniem
Zie je, mensen willen nog steeds Office 2003.
Dat is gewoon de fijnste versie. Maar nou wel best onveilig wegens geen updates.
31-07-2017, 15:59 door Anoniem
Ik begrijp niet helemaal waarom Microsoft die updates nu tussendoor uitbrengt. Beide kwetsbaarheden vereisen gebruikerinteractie (bestand openen) en bij de beide CVEs is het risico op misbruik volgens Microsoft "2 - Exploitation Less Likely". Klinkt niet echt alsof een noodpatch nodig is.

Mis ik iets waarom deze 2 patches niet tot 8 augustus op de plank konden blijven? Misschien het einde van een responsible disclosure deadline? Alhoewel in dat laatste geval het risico op misbruik toch hoger dan 2 zou moeten zijn...
31-07-2017, 19:08 door Anoniem
"Beide kwetsbaarheden vereisen gebruikerinteractie"

alle exploits vereisen gebruikers interactie... iemand moet een computer op zijn minst aangezet hebben :).

wat ik dus bedoel, omdat er dus 'gebruikerinteractie' nodig is zou ik niet meteen een ander risico inschatting aan geven. voor elke exploit zodra het kan de patches beschikbaar stellen voor IT diensten zodat die zelf een locaal van toepassing zijnde risico inschatting kunnen doen.
01-08-2017, 10:33 door Anoniem
Door Anoniem: Ik begrijp niet helemaal waarom Microsoft die updates nu tussendoor uitbrengt. Beide kwetsbaarheden vereisen gebruikerinteractie (bestand openen) en bij de beide CVEs is het risico op misbruik volgens Microsoft "2 - Exploitation Less Likely". Klinkt niet echt alsof een noodpatch nodig is.


Ze vervangen security-updates uit juni (o.a. https://support.microsoft.com/nl-nl/help/3203467/descriptionofthesecurityupdateforoutlook2010june13-2017) die last hadden van bugs. Om die bugs op te lossen, waren eerder al twee nieuwe fixes uitgebracht, die allebei weer door Windows teruggetrokken werden wegens het veroorzaken van nieuwe bugs.

~Blondie
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.