Gepubliceerd: Vrijdag 19 december 2008
Ondanks de noodpatch van Microsoft, maken hackers nog actief misbruik van het lek in Internet Explorer, nu met behulp van kwaadaardige Word-bestanden.
Toon volledig artikel
Ik hoop alleen dat de slapeloze nachten bij de programmeurs nu eindelijk eens resulteren in een beter product. Maar ja dat is eigenlijk ook weer niet moeilijk, veel slechter kan eigenlijk ook bijna niet.
Ik zou zeggen; probeer zelf eens een besturingssysteem te schrijven dat bugfree is...dat gaat je ook niet lukken.
Neen, dat lukt niemand, maar de een gaat het een stuk beter af dan de ander schijnt het dus,
sommigen leren het en sommigen leren het nooit, hoeveel geld en mankracht je er ook tegenaan gooit.
Maar ja, er is al genoeg over gezegd, tis alleen jammer dat de herhalingen blijven, dus ook de reacties, maar het blijft toch leuk hé.
Met behulp van een ActiveX control die wordt ingesloten in Word-documenten...
Welke sukkel was op het idee gekomen om het mogelijk te maken om uitvoerbare code in een office-document te proppen?
En nog erger, om een office-pakket de mogelijkheid te geven om uitvoerbare code, macro's, active-x en andere rommel uit te voeren?
Laat me raden... die firma die zogenaamd security zo hoog in het vaandel heeft staan?
Welke sukkel was op het idee gekomen om het mogelijk te maken om uitvoerbare code in een office-document te proppen?
Het was de eerste matroos, ene B. Gates, kijk maar:
Here's your Captain speaking, again.
Het is alweer bijna twee jaar geleden, dat ik voor het laatst tot u sprak:
nieuw--extreem-kritiek--lek-in-word (februari 2007)
Ik ben nog steeds de commandant van een hypermoderne nuclear submarine, we varen nu in een verbeterde versie. Ook deze verbeterde versie is weer beter beveiligd door ons aller geliefde software gigant. Alleen: Ook hier komt af en toe wat water binnen....
Nog steeds komt elke tweede dinsdag van de maand die vermaledijde eerste matroos, ik heb de bevordering van deze B. Gates de afgelopen jaren tegengehouden, naar mij toe en zegt met een misselijk makende brede lach op zijn gezicht:
"Een heleboel gaten zijn gedicht." Vorige week weer.
Gisteren komt me die dekzwabber daar alweer aan mijn hoofd zeuren met diezelfde gekmakende irritante brede lach op zijn smoel. Als ik hem zie dan trekt er een rode waas voor mijn ogen. Hij had nu een heel belangrijk extreem kritiek lek gedicht.
Vanmorgen stond ik tijdens het uitdelen van de Kerstpakketten ineens tot aan mijn enkels in het water. Ik heb de wapenkamer geopend, de wapens uitgedeeld en het bevel gegeven om die knuppel van een eerste matroos in zijn kladden te grijpen. We hebben hem gegrepen, platgespoten en in het vooronder in de boeien geslagen. We zijn nu op zoek naar een mooi oud roestig schip om die maat eens lekker te gaan kielhalen. De maat is nu vol.
De gal is mij overgelopen en ik heb nu echt schoon genoeg van die eerste matroos, van mijn schuit af met die kluns! Terwijl ik luidkeels foeter over mijn natte voeten komt de jongste matroos komt mij een troostend kopje koffie brengen. Het is navy policy om ook dames tot de vloot toe te laten en dit keer is het een meisje. Ik was hier altijd op tegen geweest, maar deze heeft mijn ijs gebroken. Ze is mooi, blond en goed gevuld, ik heb haar gereserveerd voor Kerstavond. Als ik vervolgens mijn plan tot kielhalen van de eerste matroos bespreek met de eerste officier schiet ook deze bevallige jongste matroos in de lach en wij kijken haar toch een beetje boos aan. "Wat is hier nou zo grappig aan dat je moet lachen, lief kind?"
De jongste matroos zegt vervolgens met twinkelende blauwe ogen en een brede ontwapenende hartveroverende lach: "Sorry dat ik het zeg Sir, maar het krijgen van natte voeten is toch onlosmakelijk verbonden aan het concept van het varen in een varend vergiet, nietwaar?"
De eerste officier en ik kijken elkaar aan en wij moeten er nu samen om lachen. Als zo'n jong meisje dit al in een keer ziet, waarom hebben we het zelf dan niet eerder gezien? Tsjonge: Ik ben de commandant van de meest moderne nuclear submarine in the navy en dus de wereld en het ding heeft het beveiligingsmodel van een vergiet!
In mijn eigen Kerstpakket zit toch weer die eeuwige fles Cubaanse Rum, navy policy die kost daar nog geen drie dollar per fles. Kunnen we vast wennen aan de smaak voor als we dat eiland hebben bevrijd.
Ik besluit mijn Kerstavond maar wat eerder te beginnen en neem de fles Cubaanse Rum en de jongste matroos naar mijn kajuit.
[quote]Het is alweer bijna twee jaar geleden, dat ik voor het laatst tot u sprak:[quote]
Was dat maar zo.
en o wow, een gevonden vunerability van een paar jaar oud. Tja die kan ik ook voor bijvoorbeeld OOo ook nog wel ergens uit een archief te voorschijn toveren hoor.
Grutjes, wat een goed idee, als het moeilijk wordt opeens over iets heel anders beginnen. Dat niemand daar eerder op gekomen is. Tssss...
Het enige enigzins on topic item in de reactie waar ik op reageerde was een vunerability melding in Word van twee jaar geleden. Ben ik dan degene die over iets heel anders begint ?
linus4ever duidt geloof ik aan dat er dieperliggende gemeenschappelijke oorzaak is voor fouten die verdacht veel op elkaar lijken. Altijd bereid tot ondertiteling.
Beetje vreemd want er is nu namelijk helemaal geen sprake van een vunerability in Word.
Dus dan is het schermen met een Word vunerability van een paar jaar geleden ook nogal off topic.
Verder is het sowieso nogal onduuidelijk wat er nou precies gebeurt ten aanzien van het in het artikel beschreven scenario want in Word worden zo te zien default ActiveX componenten in Word documenten bij het inlezen gedisabled tenzij ze van een door de gebruiker ingestelde trusted source komen.
Vandaar de titel van dit stuk: Hackers Verstoppen IE Exploit In Word Bestanden. Dat gaat over een vulnerability in IE. Helder toch?
Zodra ik mijn mediacenter functionaliteit aan de praat heb onder ubuntu (met mijn mce remote dit laatste zorgt voor problemen ik wil het gewoon out of the box) zeg ik windows gedag. Elke keer weer dit soort gezeik. Heb al een ubuntu server en macbook en bevalt prima.
Ik dacht dat een paar jaar geleden MS de IE rendering engine uit MS Office 2007 heeft gesloopt.
Ik vraag me dus af of MS Office 2007 gebruikers hier uberhaupt wel vunerable voor zijn ???
Hte gaat helemaal niet om IE rendering door office, maar om IE rendering door IE, geinitieerd vanuit een ActiveX component in office. Het hele punt van de Office exploit is om mensen die niet met IE surfen toch te besmetten. Je denkt veilig te zijn voor deze exploit door FF of Opera te gebruiken, maar omdat je IE niet kan verwijderen van je systeem (!) en bovendien IE ongemerkt kan worden gestart vanuit een Office document ben je nog steeds hardstikke kwetsbaar.
Je hebt als gebruiker geen keus. Omdat IE aan Windows zit vastgeklonken kun je er niet vanaf en krijg je dit soort vulnerabilities kado, of je dat wil of niet. Je hebt simpelweg niet de keus om op een IE-loos Windows te werken en daar is deze vulnerability een rechtstreeks gevolg van.
Je hebt als gebruiker geen keus. Omdat IE aan Windows zit vastgeklonken kun je er niet vanaf en krijg je dit soort vulnerabilities kado, of je dat wil of niet. Je hebt simpelweg niet de keus om op een IE-loos Windows te werken en daar is deze vulnerability een rechtstreeks gevolg van.
Hopla, de zoveelste reden om een alternatief OS te gebruiken. Het houdt maar niet op.
En toch blijft de meerderheid windows gebruiken... Ik heb er ook geen medelijden meer mee. Als mensen me vragen om hun pc weer op de rails te krijgen dan adviseer ik ze de windows-cd in het laatje te doen en de pc te herstarten. Volg de instructies op het scherm... en tot de volgende keer maar weer.
Er is geen alternatief voor windows. Linux is voor de gemiddelde gebruiker te complex. Bovendien heeft het gewoon (nog niet) alle functionaliteiten die in windows te vinden zijn.
Apple computers zijn voor de meeste gebruikers gewoon qua aanschaf te duur. Dus men zal windows blijven gebruiken.
Er is geen alternatief voor windows. Linux is voor de gemiddelde gebruiker te complex. Bovendien heeft het gewoon (nog niet) alle functionaliteiten die in windows te vinden zijn.
Drie onwaarheden in 1 reactie.
1. er zijn zat alternatieven.
2. de gemiddelde gebruiker snapt net zo weinig van Linux als van Windows.
3. Linux heeft 10x meer functionaliteiten dan Windows. De programma's zullen alleen soms anders heten, en voor bepaalde specialistische dingen ben je idd op een bepaald platform aangewezen. 99% van de gebruikers kan er echter prima mee uit de voeten omdat die toch niet veel meer doen dan surfen, mailen en een beetje documentjes editen.
Niet voor het een of ander, maar nog niet zo lang geleden hebben DE Linux gebruikers in dit forum toch duidelijk aangegeven dat ik Linux niet als vervanger van Windows mag zien.
Ik gebruik Linux zelf ook, en zie geregeld de onhebbelijkheden en tekortkomingen van dit OS.
Voor Apple geldt hetzelfde, waarom installeert de gross van de gebruikers anders een windows OS om spelletjes te kunnen spelen?
nog niet zo lang geleden hebben DE Linux gebruikers
Je bent goed in horen wat je wil horen. Het feit dat Linux geen Windows vervanger is betekent niet dat Linux een Windows niet zou kunnen vervangen. Je moet alleen geen Linux nemen omdat je denkt dat het een Gratis Windows is. Elk OS heeft zijn leercurve. Linux is daar geen uitzondering in.
waarom installeert de gross van de gebruikers anders een windows OS om spelletjes te kunnen spelen?
Niet omdat Windows zo geweldig is toch? De reden is dat Windows de grootste is, en dus dat spelmakers hun spellen daar uitbrengen.
Je bent goed in horen wat je wil horen. Het feit dat Linux geen Windows vervanger is betekent niet dat Linux een Windows niet zou kunnen vervangen. Je moet alleen geen Linux nemen omdat je denkt dat het een Gratis Windows is. Elk OS heeft zijn leercurve. Linux is daar geen uitzondering in.
Niet voor het een of ander Peter, maar ik kreeg ze tijdens dat draadje flink uitgemeten. Linux is en zal nooit een vervanger voor Windows zijn. Dat werd niet door één maar door vele verkondigd en nu zie ik het verkeerd.
Het feit dat Linux geen Windows vervanger is betekent niet dat Linux een Windows niet zou kunnen vervangen.
Sorry, hier ga ik niet eens op in. Dit is een typisch voorbeeld van een contradictio in terminus.
waarom installeert de gross van de gebruikers anders een windows OS om spelletjes te kunnen spelen?
Niet omdat Windows zo geweldig is toch? De reden is dat Windows de grootste is, en dus dat spelmakers hun spellen daar uitbrengen.
I rest my case. Zolang spelletjesmakers de niet MS OS'en links laten liggen, zullen oa de Apple en Linux fans aangewezen zijn op OOK een MS OS. Op of naast hun bestaand systeem.
Dit is een typisch voorbeeld van een contradictio in terminus
Nee hoor, Het enige dat is gezegd is dat Linux niet "hetzelfde" is als Windows. Linux is anders, werkt (gelukkig) anders en de programma's die daarin beschikbaar zijn heten anders.
Linux kan echter wél dezelfde functionaliteit bieden als Windows. Internetten, tekstverwerken, spreadsheets maken, DTP, spellen ect. ect.
De reden dat dit zo gezegd wordt is dat een Windows-gebruiker die overstapt op Linux een ander systeem voor zijn neus krijgt dan hij/zij gewend is. Het is ánders.
Nadat je dus vertrouwd bent geraakt met de andere namen en icoontjes e.d. zal het even gebruiksvriendelijk (of gebruiksvriendelijker) zijn als Windows.
Thieu,
Het gebruikersvriendelijker zijn van Linux heb ik met Mandriva 2009 aan den lijve moge ondervinden. Het is aan de ene kant de angst voor het onbekende, de angst voor het overstappen op iets geheel nieuws maar aan de andere kant ook het imago dat Linux heeft.
Linux wordt door vele gezien als een OS voor codekloppers. Personen die er een ongelovelijk genoegen inscheppen om zich rot te pijpen bij het intypen van complexe Linux commando's.
Maar zeg nu zelf, hoe vaak hebben de echte Linux gebruikers op Webwereld zelf al niet aangegeven dat Linux 'heavy' is als het aankomt op het oplossen van problemen binnen het OS.
Heb zelf uren mogen vertoeven in Mandriva Fora om problemen opgelost te zien, maar allememachies, je moet af en toe hogere wiskunde gestudeerd hebben om een niet echt ondersteunde printer aan de praat te krijgen. Het lukt wel, maar je moet niet vragen hoe.
Groot probleem is ook dat niet alle, door Windows wel ondersteunde apparatuur, aan de praat te krijgen is onder Linux. Scanners zijn daar een heel mooi voorbeeld van. Voor Mandriva waren er hele lijsten met apparatuur die standaard ondersteund werden. Daar zat mijn scanner van 350 euries toen dus niet tussen. Heb je Brother spul in huis, dan is bijna 100% direct aan de praat als je het inplugt.
Zolang de hardwareboeren Linux (nog) niet als een volwassen OS willen zien, zal een groot gedeelte van de Windows users de overstap niet maken. Wie heeft er nu zin in, buiten het leren van het nieuwe OS, ook nog eens in het moeten aanschaffen van nieuwe apparatuur?
Dit is een inkoppertje.
Wie heeft er nu zin in, buiten het leren van het nieuwe OS, ook nog eens in het moeten aanschaffen van nieuwe apparatuur?
Het gebeurt zeer zekers, met XP moest men dit doen, wederom met Vista.
Zoals je al aan gaf, het staat en valt bij de medewerking van de harde waren leverancier.
Terwijl dit altijd het grootste argument was om Linux niet te gaan gebruiken.
BTW, hoe bevalt KDE4 in MAndriva 2009.
je moet af en toe hogere wiskunde gestudeerd hebben om een niet echt ondersteunde printer aan de praat te krijgen. Het lukt wel, maar je moet niet vragen hoe.
Maar het lukt wel. Je bent dus minder afhankelijk van de leverancier van het OS of de randapparatuur.
Natuurlijk is dit niet weggelegd voor de gewone gebruiker. Dit is ook vaak een van de kromme vergelijkingen die over de gebruiksvriendelijkheid van Linux gemaakt worden. Het is lastig te installeren enzo. Buiten het feit dat ik de installatie helemaal niet lastig vind, en het out of the box méér hardware ondersteunt dan Windows, moet je voor een echte eerlijke vergelijking uitgaan van een kant en klaar systeem dat je in de winkel koopt. Net zoals "een gewone gebruiker" dat met een Windows systeem doet.
Een verkoper zal dan ook randapparatuur verkopen die door het betreffende Windowssysteem of Linux systeem wordt ondersteund.
En dat dat niet vanzelfsprekend is hebben we kunnen zien bij Windows Vista, waar veel oudere hardware niet meer ondersteund wordt en waarbij je, in tegenstelling tot bij Linux, geen enkele kans hebt die zelf nog aan de praat te krijgen.
Het gaat helemaal niet om IE rendering door office, maar om IE rendering door IE, geinitieerd vanuit een ActiveX component in office.
Toch apart want dat het automatisch openen van een url in IE met een ActiveX component in Word is helemaal niet evident. Als ik het uitprobeer worden dergelijke elementen in word geblokkeerd.
Ik heb even voorbeelden op het internet erbij gezocht:
Als ik in Word een document probeer te laden met ActiveX content krijg ik de melding
"Some active content has been disabled"
Zie plaatje
als je dan op options klikt krijg je deze waarschuwing
Niet evident, maar het kan kennelijk wel. Er is een verschil tussen "kan niet" en "zou niet moeten kunnen".
En hoeveel procent van de wereldbevolking gebruikt Office 2007? En worden die elementen in oudere versies ook geblokkeerd?
Ik kan dat niet meer zien omdat ik geen oude Office versies meer geinstalleerd heb staan.
Het zou misschien wel uit te testen moeten zijn door bijvoorbeeld een pagina van WW op te slaan en in word te openen om te kijken of deze helemaal te openen valt in word (incl flash ads)
Ook in Office 2007 kunnen nog Flash zaken worden afgespeeld.
office.microsof...0348071033.aspx
Je idee om het te testen is wat simpel gesteld wat mij betreft. Ik heb er nu geen tijd voor maar ik ga daar dit weekend nog eens wat dieper induiken. Eens kijken of ik ergens een POC kan opduikelen om mee te testen.
Proof of Concept gevonden. Het werd bij mij in Office 2007 probleemloos uitgevoerd. Ik heb een standaard installatie waaraan niets is ingesteld, dus misschien zou ik de beveiliging ergens hoger moeten zetten. Maar waar?
www.webhostingt...-execution.html
Products affected: Microsoft word 2003/2007
OS Tested : Windows Xp all patch
The vulnerability is that you can run javascript in an arbitrary manner without permission of the user. While it is limited what you can get to run, this may help attackers using methods that distort the environment javascript to tempt execute a malicious file. It also could run a page without the permission of the user to include any vulnerability or a script malignant in the user's browser.
To make the proof of concept follow the following steps
1-Make a html file and paste xss code
2-Open the html file with the word and save as “document xml”
3-Rename .xml to .doc
4-Open .doc file
XSS
---------------------------------------------------------
<html>
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('Prueba')></OBJECT>
----------------------------------------------------------
It is important to include the tag <html> because it makes it to interpret the code followed.
One curiosity is that using this method and inserting a malformed object causing a denial of service.Significantly, the file must be saved with an RTF not with the DOC.
Crash
--------------------------------------------------
<html>
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389> </OBJECT>
---------------------------------------------------
I leave some proof of concept that simply open a alert and another that leads to denial of services.
XSS
es.geocities.co...plopezy/xss.doc
CRASH
es.geocities.co...opezy/crash.rtf
Juan Pablo Lopez Yacubian
Ik wil hierbij nog opmerken dat het dus al zeker sinds mei bekend is dat je Word kan laten crashen met twee eenvoudige regels.
Na enig zoeken is het mij nog steeds niet gelukt om dat te voorkomen. Component mshtml.dll (ae24fdae-03c6-11d1-8b76-0080c744f389) wordt klaarblijkelijk zo goed vertrouwd dat je het niet geblokkeerd krijgt, tenzij je misschien accepteert dat Word niet meer goed functioneert.
Ik zie niet precies hoe dit hetzelfde is. Dit toont geen issue met IE maar eerder een bug in word waarmee je word kan laten crashen als je iemand een rtf file kan laten openen.
Toch apart want dat het automatisch openen van een url in IE met een ActiveX component in Word is helemaal niet evident.
Dit is toch een voorbeeld van een ActiveX element dat zonder enige controle wordt uitgevoerd? Of wil je nu zelfs dat gaan bestrijden? En het is het html element, dus als je dat laat verwijzen naar een pagina met een expoit hebben de niet gepatchte versies van IE een probleem.
Ik zie echter twee belangrijke elementen dus niet niet.
A) wordt in word 2007 de IE rendering engine gebruikt of wordt MS Word's eigen rendering engine gebruikt
B) Kun je ermee iets openen buiten de trusted eigen computeromgeving zoals een bestand van het internet of alleen een dialog uit MS eigen applicaties.
wordt in word 2007 de IE rendering engine gebruikt
Dat heb ik toch net beschreven? De dll mshtml.dll wordt aangeroepen, dit is de renderer van IE.
Kun je ermee iets openen buiten de trusted eigen computeromgeving
De IE render engine? Wat denk je zelf?
Je pogingen om de boel te bagatelliseren nemen weer eens ridicule vormen aan. Je bent snel om op basis van twee plaatjes die je op internet gevonden hebt een nieuwsbericht belachelijk te maken. Maar als ik je een werkende proof of concept toon dan geloof je er opeens niks meer van.
Ik zal straks eens kijken of een url van een playlist resulteert in een aanroep naar de mediaspeler. Maar dat zou je zelf ook kunnen testen ipv hier suggestieve opmerkingen te maken.
Je pogingen om de boel te bagatelliseren nemen weer eens ridicule vormen aan. Je bent snel om op basis van twee plaatjes die je op internet gevonden hebt een nieuwsbericht belachelijk te maken. Maar als ik je een werkende proof of concept toon dan geloof je er opeens niks meer van.
Waar slaat dat nou weer op.
Ik zal zelf maar even uitleggen hoe je een nieuwe MS Office 2007 een document maakt met met een activex object erin.
Zodat iedereen zelf zonder risco kan kijken hoe deze reageert.
Ik kies dan met name dan het "Microsoft Web browser" activex object omdat het mogelijk lijkt op wat in het artikel wordt gebruikt.
In MS Word 2007 te vinden via
Ontwikkelaar lint => Kies op het besturingselemente deel voor "Oudere hulpprogramma's => dan voor ActiveX elementen => Meer elementen => Selecteer "Microsoft Webbrowser Object"
Sluit vervolgens het document op in Word 2003 compatibel .doc file en open het weer vanuit de verkenner
Dan kijg je de volgende melding:
Plaatje beveiligingsmelding van MS Word voor document webwwereld_text.doc
Dat is dus een echte ActiveX control. En die opent niet zo maar.
Jou javascript voorbeeld kan ik moeilijk plaatsen. Mogelijk worden daar trusted activex elementen van MS gebruikt (javascript alert dialog) maar ik weet niet eens of het echt wel activex is.
p.s. Als je geen ontwikkelaar lint in beeld hebt ga dan in Word naar de MS Office button => Opties voor Word => Populair => vink aan: Tabblad ontwikkelaars op het lint weergeven
Maar dat was niet de manier waarop waarop de hackers proberen om het IE lek te exploiten. De manier waarop je nu telkens reageert lijkt verdacht veel op een rookgordijn. Ga je inhoudelijk in op wat ik heb geschreven, of ga je het weer ontwijken?
Het is mogelijk de IE render engine rechtstreeks aan te roepen vanuit Word door de simpele instructie die hier een stukje boven staat. Ben je dat met me eens of niet?
En die instructie kan nog korter want die staat hier gewoon al boven:
1-Open Kladblok
2-Paste de gequote code hieronder
3-Sla het document op als xss.html
4-Open xss.html met Word en sla het op als xss.xml
3-Rename xss.xml naar xss.doc
4-Open xss.doc
5-Zie hoe het javascript commando "alert('Prueba')" wordt uitgevoerd
<html>
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('Prueba')></OBJECT>
Ik heb het zelf getest en het werkt vlekkeloos.
Het gaat erom dat in hetartikel duidelijk staat dat exploitatie plaatsvind met behuld van een activex control
Met behulp van een ActiveX control die wordt ingesloten in Word-documenten
Dat heb ik dus gebruikt als voorbeeld.
Jouw voorbeeld kan ik niet plaatsen als activex control.
The <object> tag is used to include objects such as images, audio, videos, Java applets, ActiveX, PDF, and Flash.
Kom nou toch hAl. Anders ben je ook snel genoeg. Je weet toch dat een javascript protocol aanroep afgehandeld wordt door IE. Volgens mij houdt je je nu bewust van de domme.
Je weet toch dat een javascript protocol aanroep afgehandeld wordt door IE.
Nou en, daar hoeft geen beveiligingslek in te zitten.
Het is je ook niet gelukt om met javascript een andere site te lanceren vanuit Word maar slechts een alert dialog.
Wat je duidelijk negeert is dat het artikel claimt dat er een ActiveX control is gebruikt en dat ik duidelijk aangetoond heb dat bijvoorbeeld Word 2007 je gewoon een duidelijke waarschuwing geeeft als er een activex control in het document aanwezig is en een default optie om deze uit te schakelen.
Je negeert het artikel en komt met een crash gerelateerd aan javascript in MS Word.
Waarom probeer je zelf niet eens een bestand te maken met een activex control.
Jij beschikt mogelijk nog wel over Office XP/2003 en dan kun je zien of de werking verschilt
Jou javascript voorbeeld kan ik moeilijk plaatsen.
Dat is verbluffend. Heb je geen enkele ervaring met html? In dat geval moet ik mijn verontschuldigingen aanbieden, dat wist ik niet. Ik zal daar in het vervolg rekening mee proberen te houden.
HTML <object> tag
The <object> tag is used to include objects such as images, audio, videos, Java applets, ActiveX, PDF, and Flash.
De object tag wordt dus gebruikt om een activeX te laden in een html file. In dit geval wordt mshtml.dll geladen en wordt het deel code achter de value geevalueerd.
javascript:alert('Prueba') is niet meer dan:
1. Laad javascript
2. stuur een dialoogbox uit
3. Zet daarin de tekst 'Prueba'
Ik geef een voorbeeld van de import van het IE object wat een stukje javascript evalueert. Je kan de javascript aanroep probleemloos vervangen door een http url, maar dan krijg je geen visuele bevestiging van de uitvoering van het object. Je snapt toch hoop ik dat er een ActiveX component nodig is om javascript te evalueren? Je weet toch dat Word dat zelf niet standaard kan?
Je snapt toch hoop ik dat er een ActiveX component nodig is om javascript te evalueren? Je weet toch dat Word dat zelf niet standaard kan?
Ik weet niet precies in hoeverre Word 2007 zelf webpagina's kan interpreteren.
Ik weet wel dat daarvoor de IE rendering engine niet meer wordt gebruikt maar inhoeverre zich dat uitsprekt tot javasccript was me niet bekend.
Ik heb even opgezocht en de normale script tag wordt in Word niet ondersteund
http://msdn.microsoft.com/en-us/library/aa338201.aspx
Je zal daar dus wel een component voor moeten gebruiken en mogelijk zelfs een activex control.
Daar heb je ten minste een voorbeeld van een activex control namelijk het "Microsoft Scriptlet Component".
Die kun je vermoedelijk op gelijke wijze zoals ik boven hebt aangegeven voor de "Microsoft "Webbrowser Object" in een document aanmaken.
Ik zal later thuis eens uitproberen hoe Word 2007 dan omgaat met die ActiveX component.
Het is zo te zien ook dezelfde control als die je in je javascript alert voorbeeld gebruikt. Nu kan ik hem tenminste zelf in een word document opnemen
He he, eindelijk komen we ergens. :) Dat vertel ik je al de hele tijd.
What does mshtml.dll do?
Mshtml.dll is responsible for the rendering of web pages within Internet Explorer.
En het gaat er juist om dat je het op creatieve wijze inbind in je document omdat Word zelf er toch echt wel voor zal zorgen dat er extra veiligheidsmaatregelen worden toegevoegd.
Je gelooft toch niet echt dat hackers zich aan de regels van Microsoft gaan houden?
Voor alle duidelijkheid: What does mshtml.dll do?
Mshtml.dll is responsible for the rendering of web pages within Internet Explorer. It also contains some Internet related icons if you're after something different for a shortcut.
Om lleo (hieronder) maar eens te quoten.
De exploit zit niet in het gecompromitteerde Office document verstopt. Wat er wel in zit is een component dat de exploit ophaalt van een server en uitvoert in IE. Je bent dus kwetsbaar met een ongepatchte IE, ook al gebruik je IE nooit.
De link die ik geef, toont aan dat die techniek in elk geval werkt in Word 2003 en 2007. Iets waaraan jij eerder openlijk twijfelde.
Nog even ter aanvulling:
De titel van dit artikel is enigzins misleidend. De exploit zit niet in het gecompromitteerde Office document verstopt. Wat er wel in zit is een component dat de exploit ophaalt van een server en uitvoert in IE. Je bent dus kwetsbaar met een ongepatchte IE, ook al gebruik je IE nooit.
Dus patch je computer met de laatste pleister van MS en je hebt geen problemen.
Snap het probleem even niet. De dombo's die patches uitstellen totdat het te laat is, ondervinden zelf de gevolgen.
Besides, er zijn ook Apple gebruikers die op hun intel doosje windows installeren. Ook zij moeten patchen, zoniet, dan wordt het ook voor hen bloeden.
Hangt er een beetje van af wat ze als hun main-os gebruiken, wanneer ze hun office-documentjes in OSX openen is er helemaal niets aan de hand, ze zullen ook vooral surfen in OSX.
De enige reden dat ik bijv. Windows op mijn intel Mac draai is voor sommige games waar ik geen afscheid van kan nemen. En surfen onder Windows zullen de meeste gebruikers in FF doen, dus eigenlijk zie ik daar persoonlijk ook niet echt een probleem.
Gebruik je Windows als main-os, tja, dan moet je wel je updates hiervoor installeren...
Het gevaar zit 'm er in dat mensen denken ook zonder patch veilig te zijn omdat ze nooit IE gebruiken, maar een alternatieve browser. Dat is een begrijpelijke en niet eens zo heel domme gedachte. Waarom zou je IE patchen als je IE niet gebruikt?
Normaal gesproken zou je software die je niet wil gebruiken van je systeem verwijderen, maar omdat MS ervoor gekozen heeft IE onlosmakelijk aan Windows vast te knopen is dat bij IE niet mogelijk.
De ultieme oplossing:
- een externe backup maken van je gegevens,
- opstarten met een Linux-distributie naar keuze
- de hele schijf gebruiken voor de installatie, dan ben je tenminste van die winzooi af
- je in een dag of vier (max) een beetje wegwijs maken
- eindelijk gelukkig worden.
je in een dag of vier (max) een beetje wegwijs maken
dat is al heel wat meer dan 10 minuten, de oma's die het meteen oppikten, de blonde deernes die zonder drempel werken, enz.. vier dagen ( op de hei neem ik aan) dan zijn de meeste gebruikers al lang afgehaakt vrees ik.
Dan liever een probleem dat geen probleem is als je het systeem up to date houdt ;)
Aha, dus liever de eeuwige angst, ga je korten van leven.
Of een eenmalige investering van 4 dagen en je hebt voor de rest een rustig ontspannen leven.
Lijkt mij een moeilijke keuze.
zo is dat. Ik kwam net nog iemand tegen die geen last had van Postbank phising omdat hij Linux gebruikte ;)
rust lekker verder denk ik dan, en wacht even af wat er nog meer aankomt ;)
Dan liever een probleem dat geen probleem is als je het systeem up to date houdt ;)
Wat je dan tot vervelens toe moet herhalen, en dat tussen vinden en oplossen nog niet helpt ook, maar ja, discussie voorbeelden te over. Geeft wel leuke reacties.
Wat je dan tot vervelens toe moet herhalen
hé interessant, ken jij een systeem dat geen updates behoeft?
Dat lijkt me een heel bijzonder systeem.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
.gif){kind=link}