Microsoft waarschuwt voor RTF-boobytrap

Gerelateerde artikelen:

Tags:

Microsoft waarschuwt voor RTF-boobytrap

30-12-2010,10:12 doorRedactie

Microsoft waarschuwt Office-gebruikers voor gerichte aanvallen, waarbij er een bekend Trojaans paard geïnstalleerd wordt. De aanvallen gebruiken geprepareerde RTF-bestanden die via een recent gepatcht beveiligingslek het systeem weten over te nemen. De patch in kwestie is MS10-087, die in november werd uitgebracht.

"Een paar dagen voor kerst ontvingen we een nieuw exemplaar dat op betrouwbare wijze dit lek misbruikt en in staat is om kwaadaardige shellcode uit te voeren die andere malware downloadt", zegt Rodel Finones van het Microsoft Malware Protection Center. De aanvullende malware is in dit geval een variant van de bekende Turkojan Trojan.

Firefox plugins starten volg-mij-niet experiment

WordPress dicht zeer ernstig beveiligingslek

Filter:

Reacties

30-12-2010,

10:40 door

spatieman

-1 Rating:

Quote deze reactie | Reactie niet OK

niet waarschuwen !
doe er ook wat aan.
of wacht!
is voor volgend jaar met de eerste patch dag.

30-12-2010,

10:45 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

@spatieman:
"De patch in kwestie is MS10-087, die in november werd uitgebracht."

Dus wie moet hier wat aan doen? Inderdaad: de gebruiker van het systeem: patchen!

30-12-2010,

10:47 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Wat moeten ze er aan doen, de patch is al uitgebracht...

30-12-2010,

10:53 door

Spiff

+1 Rating:

Quote deze reactie | Reactie niet OK

Door spatieman: doe er ook wat aan.

Dat hébben ze al gedaan.
Het lek is in november gepatched met MS10-087, zoals je kunt lezen.
Dit lek is alleen nog een lek wanneer je om een of andere reden die patch niet hebt geinstalleerd.

30-12-2010,

12:27 door

Spiff

+1 Rating:

Quote deze reactie | Reactie niet OK

Off-topic:

Het blijft vervelend, dat berichten van niet-ingelogde gebruikers (die dus geplaatst worden als "Anoniem") pas met een vertraging geplaatst worden. In deze thread reageerde Anoniem 10.45 al op Spatieman, Anoniem 10.47 kon die reactie nog niet zien en reageerde ook, en ik zag beide reacties nog niet en reageerde om 10.53 nog eens met zo'n beetje hetzelfde. Driedubbelop dus, waardoor de laatste twee reacties onnodig leken of waren.

Maak als het effe kan een account aan en log in als je wilt posten, dat maakt het een stuk overzichtelijker.
Dankjewel.

30-12-2010,

13:08 door

custoditus

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Redactie: De aanvallen gebruiken geprepareerde RTF-bestanden die via een recent gepatcht beveiligingslek het systeem weten over te nemen. De patch in kwestie is MS10-087, die in november werd uitgebracht.

Dit kun je volgens mij op twee manieren lezen:
1) Het gepatchte beveiligingslek is de oorzaak dat de aanvallen kunnen plaatsvinden (let op woordje 'via') en er moet dus een nieuwe patch komen.
2) Het lek is al gedicht met de genoemde patch.

Ik lees/las het toch als de eerste manier en spatieman misschien ook.

Laatst gewijzigd: 30-12-2010, 13:10

30-12-2010,

13:38 door

Spiff

+0 Rating:

Quote deze reactie | Reactie niet OK

Ik begrijp wat je bedoelt, Custodius.

In zo'n geval is het altijd goed om te kijken wat er in het oorspronkelijke bericht stond, in dit geval het stuk van het Microsoft Malware Protection Center,
"Targeted attacks against recently addressed Microsoft Office vulnerability (CVE-2010-3333/MS10-087)"
http://blogs.technet.com/b/mmpc/archive/2010/12/29/targeted-attacks-against-recently-addressed-microsoft-office-vulnerability-cve-2010-3333-ms10-087.aspx
Daarin is onder andere te lezen:

Last November, Microsoft released security bulletin MS10-087, which addresses a number of critical vulnerabilities in how Microsoft Office parses various office file formats. One of them is CVE-2010-3333, "RTF Stack Buffer Overflow Vulnerability," which could lead to remote code execution via specially crafted RTF data.
A few days before Christmas, we received a new sample (sha1: cc47a73118c51b0d32fd88d48863afb1af7b2578) that reliably exploits this vulnerability and is able to execute malicious shellcode which downloads other malware.

Ook dat geeft geen duidelijkheid over de vraag of succesvolle aanvallen kunnen plaatsvinden op systemen waarop dat lek gepatched is, of dat aanvallen slechts succes kunnen hebben wanneer die patch niet is geïnstalleerd.

Onderaan de tekst staat echter:

We recommend customers that have not yet installed the security update MS10-087 to do so at their earliest convenience.

Dat doet weer sterk vermoeden dat bedoeld wordt dat de genoemde aanvallen slechts een bedreiging zijn voor ongepatchte systemen.

Maar het blijft onduidelijk.
Dus ik moet je gelijk geven, Custodius.
En dus ook aan Spatieman: ik kan me voorstellen dat je het zo leest.

Reageer

Ondersteunde BBcodes

Security.nl ondersteunt de volgende bbcode codes:

Vet:: [b]vet[/b]
Cursief:: [i]cursief[/i]
Onderstreept:: [u]onderstrepen[/u]
Quoten:: [quote]quote[/quote]
URL:: [url]www.website.nl[/url]

Broncode:: [code]code[/code]
Config:: [config]configuratie[/config]

Het plaatsen van afbeeldingen (img tags) wordt niet ondersteund.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login