Microsoft: Encryptie lek in Word helemaal niet ernstig
Gisteren verscheen de waarschuwing van een security onderzoeker die een "zeer kritiek lek" had ontdekt in de manier waarop encryptie in Microsoft's Word en Excel wordt toegepast. Volgens Microsoft vormt het lek bijna geen bedreiging voor haar klanten. "In sommige gevallen kan een aanvaller de inhoud van een geencrypt bestand lezen, als hij tot meerdere versies van het bestand toegang heeft." Om toegang te krijgen moet de aanvaller toegang hebben tot twee aparte bestanden met dezelfde naam die door hetzelfde wachtwoord beschermd worden. Microsoft raadt gebruikers die een geencrypt document wijzigen aan om het document met een ander wachtwoord op te slaan. (eWeek)
hand is. En enkele weken later toch maar wel repareren.
Kan i.p.v. geencrypt a.u.b. gewoon versleuteld gebruikt worden, want
geencrypt is echt geen gehoor.
wijzigen aan om het document met een ander wachtwoord op te
slaan.
Het is voorlopig de simpelste oplossing voor deze grote
fout, maar dat maakt deze fout nog niets iets om dus maar
weg te wuiven met een bewering dat het dus niet ernstig is.
Als ik een alarm heb dat een soortgelijke bug heeft en de
verkoper verteld me doodleuk dat het niet ernstig is en ik
in het vervolg dus maar iedere keer een andere code moet
gebruiken als ik het activeer dan neem ik daar natuurlijk
ook geen genoegen mee. Ze zullen dus snel met een oplossing
moeten komen.
versleutelen, inderdaad. versleutelen. Versleutirjskj.... klinkt al
net zoals teveel geleuter.
Microsoft raadt gebruikers die een geencrypt document
wijzigen aan om het document met een ander wachtwoord op te
slaan.
Wauw. Elk document wat je hebt met een eigen, uniek
wachtwoord opslaan? Dan wordt het snel nogal een nutteloze
zaak, want als je enkele tientallen geëncrypte files hebt ga
je dat echt niet allemaal onthouden.
Elke manier van encryptie waarbij deze gekraakt kan worden
m.b.v. twee bestanden is ernstig lek. Alsof het moeilijk is,
als je toegang hebt tot één geëncrypt bestand, er nog een
ander bij te pakken. Doorgaans betekent zo'n toegang
namelijk een open (bedrijfs)netwerk, waar dus alles voor het
oprapen ligt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
