Security lekken in Microsoft MSN, Word en Outlook
James C. Slora heeft een lek in Microsoft Word en Outlook gevonden, waardoor kwaadaardige mensen mogelijk toegang tot het systeem kunnen krijgen. Het probleem doet zich voor wanneer Word wordt gebruikt om e-mails in Outlook te editten. Dit kan, als de gebruiker misleid wordt om een kwaadaardige e-mail met een niet afgesloten "OBJECT" tag te forwarden, misbruikt worden om willekeurige code op het systeem van de gebruiker uit te voeren. Er wordt aangeraden om Word niet als standaard mail editor te gebruiken. Meer informatie staat in deze advisory.
Tevens heeft Jesse Ruderman een lek in MSN Messenger 6 en Microsoft Word 2002 ontdekt, waardoor men toegang tot de Windows "shell:" functionaliteit kan krijgen. Dit probleem lijkt op het probleem dat laatst in Mozilla werd ontdekt. Er wordt aangeraden om geen links in MSN Messenger of in Word bestanden te openen die van onbetrouwbare bronnen afkomstig zijn. Meer informatie staat in deze advisory.
bewerken (wat je toch niet doet) is het mogelijk dat als
iemand je een mailtje stuurd, en jij die forward, dat er dan
een stukje code uitgevoerd word op je pc.
Een klein bugje, want Word gebruik je toch niet als editor
voor je mail, en mailtjes forward je toch niet vaak.
bug2 voor leken: Het is mogelijk dat als iemand een evil
linkje stuurt via MSN of in een Word document, dat er dan
een programma opgestart kan worden.
Persoonlijk vind ik deze ook niet echt noemenswaardig. Eerst
zou er namelijk een trojan op de pc gezet moeten worden, en
vervolgens moet degene met wie je aan het MSN-en bent een
gevaarlijk programmaatje op je pc zetten, en weten waar deze
staat.
Ik gebruik nooit Word voor e-mail.
Helaas is staat dit standaard aan in office 2003 :(
Zoals bijv: M$ Office vervangen door Open Office (ook voor
windows verkrijgbaar)
MSN vervangen door AMSN (amsn.sourceforge.net, is linux
proggy doch ook voor Mac en Windows verkrijgbaar)
En zo is er vast ook een alternatief voor Outlook. In Linux
is dit Evolution. Zal ook vast wel een soortgelijk
alternatief voor Windows voor zijn.
Ik gebruik zelf zo weinig mogelijk M$ software. Hmm..
eigenlijk gebruik ik alleen WindowsXP af en toe bedenk ik me
net. Maar dat is dan ook alles.
alles is geïntegreerd met alles. En een klein probleempje
wordt op die manier een hele serie attack vectors.
Dat is dan ook de belangrijkste reden waarom Microsoft
bepaalde Internet Explorer exploits niet kan fixen...
er hangt te veel functionaliteit in andere programma's aan
vast.
microsoft zo onwijs lang op zich laten wachten.
Windows af te laten sluiten:
shell:windowssystem32shutdown.exe
Volgens mij vallen er geen parameters te gebruiken dus "format.com C: /y" zit
er niet in.
Voor de freaks, hier een voorbeeldje waar je iemand op moet late klikken om
Windows af te laten sluiten:
shell:windowssystem32shutdown.exe
Volgens mij vallen er geen parameters te gebruiken dus "format.com C: /y" zit
er niet in.
Pardon, ik had het eerst moeten testen natuurlijk :) shutdown.exe werkte hier
niet maar
shell:windowssystem32logoff.exe
geeft wel degelijk een leuk effect ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
