Meer lekken door specificatie Office-bestandsformaten?
Microsoft heeft de specificaties van haar Office-bestandsformaten gepubliceerd, maar de openheid van zaken kan hackers juist in de kaart spelen. De beschrijving van de bestanden is alleen voor Office 2007, toch is het zeer waarschijnlijk dat ze overeenkomsten hebben en zelfs backward compatible zijn met bestanden van eerdere Office versies.
Hoewel de publicatie handig is voor ontwikkelaars, kunnen zowel goed- als kwaadaardige onderzoekers ze gebruiken om nieuwe beveiligingslekken te vinden. "Doordat de specificaties open en bloot liggen, kan men systematisch te werk gaan," aldus Noam Rathaus. Hij is zeer benieuwd of er de komende maanden meer beveiligingslekken in Office worden ontdekt en of dit een verband houdt met de uitgebrachte specificaties.
Uit onderzoek van Symantec blijkt dat in 67% van alle aanvallen om bedrijfsnetwerken te infiltreren, MS Word bestanden worden gebruikt. PowerPoint is goed voor 17%. PDF, Access (MDB), Excel en JTD (Ichitaro Document) hebben elk een aandeel van 3%.
De problemen ontstaan door (macro)scripts en ingevoegde
objecten, active* zooi, die met de rechten van de gebruiker
rare dingen doen op een computersysteem.
men systematisch te werk gaan," aldus Noam Rathaus.
worden waardoor het allemaal beter wordt..
men systematisch te werk gaan," aldus Noam Rathaus.
worden waardoor het allemaal beter wordt..
inderdaad. Iedereen die met uitspraken zoals in dit artikel
komt blijft maar vergeten dat je er vanuit kan (en moet)
gaan dat kwaadwillenden op de hoogte zijn van zulke lekken,
ook al is het publiek, of de maker, het niet.
Geeft microsoft eindelijk de specs naar buiten, is het Weer niet goed.
wordt gebruik gemaakt van gesloten microsoft bestandsformaten. En dat zou
nu nog meer moeten worden???
Ook die andere aanname is onzin. De specificaties van het Office 2007
bestandsformaat hebben totaal niks te maken met de voorgaande bestanden
die sinds office 97 hetzelfde waren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.