Office ActiveX-lek actief misbruikt door hackers
Een beveiligingslek in een ActiveX control van Microsoft Office wordt op grote schaal toegepast door hackers voor het besmetten van computers en infiltreren van netwerken. Begin juli waarschuwde Microsoft al dat de kwetsbaarheid in de Microsoft Snapshot Viewer bij gerichte aanvallen was ingezet. Een week later werd de exploit toegevoegd aan de Neosploit malware-toolkit
Op 24 juli verscheen de publieke exploit en dat lijkt misbruik in de hand te werken. Er zijn honderden gevallen ontdekt waarbij de exploit wordt gebruikt, met name in China. Het probleem bevindt zich in het ActiveX control van de Microsoft Snapshot Viewer, waarmee snapshots van Microsoft Access te bekijken zijn. Het gewraakte ActiveX control is standaard aanwezig in Office 2000, Office XP en Office 2003, maar kan ook op systemen geïnstalleerd zijn waar geen Microsoft Office op draait.
Aangezien er nog geen patch beschikbaar is, kunnen gebruikers kill-bits voor de volgens CLSIDs instellen:
{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}
{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}
{F2175210-368C-11D0-AD81-00A0C90DC8D9}
Hoe je een kill-bit instelt legt Microsoft op deze pagina uit. Een andere optie is upgraden naar Internet Explorer 7, omdat daar nog eerst een waarschuwingsvenster verschijnt die vraagt of de gebruiker het ActiveX control wil uitvoeren. Andere workarounds bestaan uit het aanpassen van het register en het uitschakelen van Active Scripting.
ActiveX; misschien wel de belangrijkste reden om te kiezen
voor FF of Opera.
alleen bij toestemming vind ik het ook best. je kan er best
mooie dingen mee doen, maar ja dat brengt risico's mee.
het is geen browser isue, maar een office iseu..
voor OpenOffice :o)
het is geen browser isue, maar een office iseu..
Het is geen browser issue, ook geen office issue, het is een
Microsoft-arrogantie issue... Een systeem gebruiken dat niet
werkt, maar het toch blijven gebruiken omdat ze het zelf
hebben gemaakt en er een standaard van willen maken (wat
allang niet meer kan).
Dat wil Microsoft met alles wat ze maken... en het is ze
alleen maar gelukt met DOS en Windows. Terwijl ze daar nu
ook terrein aan het verliezen zijn... zie: Vista
ASP : Slecht en onzin
VB : Slecht en onzin
ActiveX : Slecht en onzin
Om nog maar even iets te noemen; Heel de wereld houdt zich
aan de W3C standaard... maar nee hoor, Microsoft is lekker
arrogant en vinden hun eigen systeem beter
het is geen browser isue, maar een office iseu..
Oké, maar de eventuele malicious payload zal toch via IE geïnjecteerd worden....
het is geen browser isue, maar een office iseu..
voor OpenOffice :o)
is nou ook niet echt betrouwbaar gebleken als het om lekken gaat.
Je kunt ook alle ActiveX uitschakelen hoor, als je zo bang
bent. En OpenOffice
is nou ook niet echt betrouwbaar gebleken als het om lekken
gaat.
Klopt. Alleen relatief gezien zijn de lekken een stuk
minder, vaak ook minder ernstig en worden ze een stuk
sneller gepatcht.
het is geen browser isue, maar een office iseu..
Het is geen browser issue, ook geen office issue, het is een
Microsoft-arrogantie issue... Een systeem gebruiken dat niet
werkt, maar het toch blijven gebruiken omdat ze het zelf
hebben gemaakt en er een standaard van willen maken (wat
allang niet meer kan).
Dat wil Microsoft met alles wat ze maken... en het is ze
alleen maar gelukt met DOS en Windows. Terwijl ze daar nu
ook terrein aan het verliezen zijn... zie: Vista
ASP : Slecht en onzin
VB : Slecht en onzin
ActiveX : Slecht en onzin
Om nog maar even iets te noemen; Heel de wereld houdt zich
aan de W3C standaard... maar nee hoor, Microsoft is lekker
arrogant en vinden hun eigen systeem beter
Nou, gelukkig weer wat geleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.