Gepubliceerd: Woensdag 13 mei 2009
De maandelijkse patchronde van Microsoft brengt deze keer maar één patch. De update betreft 14 gaten in Powerpoint, waaronder 1 die al misbruikt wordt.
Toon volledig artikel
Zie hier nadeel van Microsuft meuk op OS-X.
Ga toch voor OpenOffice op OS-X.(kost niks, en veiliger en meer compatible)
Of OpenOffice meer compatible is met Windows Office dan Mac:Office dat is vraag ik mij af, maar feit is wel dat er nogal wat verschillen zitten tussen Windows Office en Mac:Office.
Zelf gebruik ik Apple Pages, Numbers en Keynote (link). Het is niet gratis, maar voor Euro 79 heb je een pakket dat een stuk prettiger is om mee te werken dan Microsoft Office en OpenOffice -- en volledig compatible met Office2003, Office2007, en PDF.
Dat van die Java versie ben ik toch wel met SED eens. Dat vond ik vrij slordig. Een adhoc beslissing onder tijdsdruk. Men had de OOo versie inclusief Java destijds beter kunnen uitstellen.
Kwaadwillenden kunnen namelijk via een kritiek gat in Powerpoint pc's op afstand overnemen. Exploitcode voor dit gat wordt al gebruikt, voor gerichte aanvallen.
Dat betreft alleen een kritiek gat in de Powerpoint 2000 versie.
Voor Powerpoint 2002, 2003 en 2007 zijn alle in dit securitybulletin genoemde zaken aangemerkt met een rating belangrijk en niet als kritiek.
De update betreft 14 gaten in Powerpoint, waaronder 1 die al misbruikt wordt
Het security bulletin betreft 14 gaten maar de meeste komen alleen voor in oude versies van Powerpoint.
Voor bijvoorbeeld Powerpoint 2007 of 2008 betreft het slechts 1 patch.
Ik snap jouw bagatelliserende toon niet. het betreft belangrijke problemen die ook nog remote exploiteerbaar zijn.
Als je het hele bulletin gelezen had dan had je kunnen lezen dat voor bijvoorbeeld de powerpoint 2007 viewer (en alle recentere producten anders dan Office 2000) deze vunerability niet kritiek wordt gezien omdat er meerdere gebruikershandelingen nodig zijn om dat lek te exploiteren.
Ik bagatelliseer niet de boel maar vermeld de rating van de issues zoals die in het offciele security bulletin worden vermeld. Daarin wordt duidelijk dat de zwaarste rating die in het artikel als enige wordt genoemd alleen geld voor de patches op de inmiddels minst voorkomende oude Office 2000 versie en bovendien wordt aanvullend duidelijk dat de in de huidige actuele office versies slechts 1 van de 14 genoemd lekken voorkomen en dat de meeste daarvan ook alleen in powerpoint 2000 voorkomen.
Het is nuttig voor de meeste MS Office gebruikers om te weten dat ondanks de titel van het artikel de meeste MS Office gebruikers dus geen kritiek lek of 14 lekken hoeven patchen.
Het is eerder verbazingwekkend dat het artikel deze informatie niet vermeld.
Ondanks wat jij hier aangeeft is het niet voldoende om slechts op een url te klikken om deze lekken te exploiteren omdat voor nieuwere office versies er dan een dialogbox verschijnt die vraagt of je het betreffende bestand in Office wil openen of opslaan en dat je die dialoog als gebruiker expliciet moet passeren.
Een voorbeeld van die dialoog heb ik hieronder geplaatst
it.ccri.edu/Doc..._powerpoint.gif
Mensen die dergelijke dialoogwaarschuwingen negeren zijn altijd te besmetten met malware en die hoeft je ook geen powerpoint met een lek te sturen maar kun je gewoon direct de malware zelf sturen als uitvoerbaar bestand. Dat is eenvoudiger en vereist ook geen aanwezigheid van MS Office.
Je moet natuurlijk altijd een patch installeren.
Er wordt echter in het artikel een onsamenhangende set informatie gegeven over het security bulletin.
De update betreft 14 gaten in Powerpoint, waaronder 1 die al misbruikt wordt.
Dit is onhandig omdat veel gebruikers strak maar 1 patch krijgen en dan ook nog van een lek dat nog niet misbruikt wordt.
Hierdoor kunnen mensen verward raken.
"Waar zijn die andere 13 patches?", "Waarom zegt mijn windows update dat de niet dat de patches kritiek zijn?", "Mis ik dus nog die kritike patch?".
jij bent de enige die hier spreekt over bagatelliseren.
als ik zeg dat de meeste mensen geconfronteerd zullen worden met maar 1 gepatched lek en dat die de reating belangrijk heeft geeft dat een feitelijke situatie aan. Dat is wat de gebruikers te zien krijgen.
Nergens bagatelliseer ik de zaak. Jij bent daar op aan het hameren maar blijkbaar vind jij het bagatelliserend om een lek met rating belangrijk te omschrijven als een lek met rating belangrijk.
Maar met jouw reacties hierop ben ik helemaal niet zo blij. Die geven de gebruiker het idee dat het zo'n vaart niet loopt
Je wekt nu een suggestie alsof ik daarmee zou beweren dat het zo'n vaar niet loopt. Waar zeg ik dat ?
Als je nog eens naleest dan ben jij telkens degene die dat suggereert maar ik niet degene die dat zegt.
Het trieste is dat jij door jou opmerkingen aan belangrijke patches een bagetelliserende klank meegeeft. Dat terwijl dat toch de een na hoogste rating is die Microsoft aan de patches meegeeft.
Als ik de kale feiten vermeld en jij noemt dat bagatelliseren dan ben jij degene die de feiten als minderwaardig beoordeeld.
ik spreek ervoer dat jij bagatelliseert (toch). Is dat onduidelijk?
Ik haal feiten aan uit een link die in hert artikel wordt genoemd. Jij noemt dat bagatelliseren.
Ik noem dat het verdraaien van iemand reacties.
Jij suggereert dat door het noemen van feitelijke waarheden die ik gewoon vindt ontbreken in het artikel dat ik de zaak bagatelliseer. Het is echter logischer om een artikel waarin dergelijke feitelijke informatie ontbreekt te beschrijven als onzorgvuldig.
Dus nogmaals.
Als je bijvoorbeeld MS Office 2007 en 2008 hebt zal er maar sprake zijn van 1 patch voor een issue die belangrijk is en die ook voor zover bekend niet geexploiteerd wordt.
Als je MS Office 2000 hebt dan heb je mogelijk zo'n 14 gepatche issues waarvan er meerdere kritisch zijn en waar er van 1 ook bekend is dat deze al geexploiteerd wordt.
Dat is een betere summary dan wat het artikel aan info geeft.
Je krijgt een leuk tussenschermpje, waarin je gewaarschuwd wordt, maar volgens goed Microsoft gebruik kan je de dialoog heel eenvoudig uitzetten.
Zie de screenshot onderaan: "Always ask before opening this type of file."
Gezien de scheepsladingen 'leuke' Powerpoint-grapjes, die ik bij collegae zie rond gaan, zou het me niet verbazen als die dialoog al lang een keer is uitgezet bij de massa.
Het is dus soms één handeling, soms twee.
Het gaat bij de powerpoint viewer om deze vuln.
CVE-2009-0224
Misschien ook wel opmerken dat dat wel het lek is dat in bij alle powerpoint versie voorkomt maar dat dat niet het lek is dat momenteel wordt geexploiteerd. Het enige lek warvan een exploit bekend is is namelijk CVE-2009-0556 en die komt bijvoorbeeld in Office 2007 en Office 2008 (OS X) niet voor.
Dat betreft alleen een kritiek gat in de Powerpoint 2000 versie.
En dat maakt het onbelangrijk?
Het gat werd al meer dan een maand actief misbruikt, dus ik ben heel blij dat Microsoft eindelijk tijd heeft gevonden om een pleister te maken.
En dat maakt het onbelangrijk?
Als bijvoorbeeld 96% van de gebruikers op een hogere/nieuwere versie zit is dat wel degelijk relevant. De titel is dat er een kritiek lek in Office wordt gepatched maar bij de meeste Office gebruikers is er dus helemaal geen kritiek lek om te patchen. Slechte een heel beperkte groep oude Office gebruikers hoeft een kritiek lek te patchen.
Office 2000 is een flink verouderde versie die zover ik weet al al geruime tijd uit de normale ondersteuning/support is gehaald en in de extended onderhoudsperiode zit waarin alleen nog security updates worden gedaan.
Iemand anders raad bijvoorbeeld OpenOffice aan als vervanging maar juist een product als openoffice ondersteunt oude versies uit 2000 al lang niet meer. Als daar kritiek lekken in zouden zitten zouden ze nooit meer gepatched worden. Bepaald niet een zinvol product voor organisaties die wel tien jaar met een zelfde office versie kunnen doen.
Het nadeel bij Office 2000 is alleen dat de consument de beurs moet trekken om een nieuwe versie te gaan kopen. Ik denk dan ook dat er nog best veel consumenten zullen zijn die een oude outdated versie hebben. Ik ben zelfs Office 97 nog niet zo lang geleden ergens tegen gekomen.
En je trekt OpenOffice er wel bij. Maar ik vind dat een appels/peren vergelijking. Upgraden kost in principe geen geld, dus een kortere support cyclus vind ik in deze een non argument. De upgrade is net als de update gratis.
Ik ken trouwens geen enkel bedrijf dat tien jaar doet met een office versie.
Het nadeel bij Office 2000 is alleen dat de consument de beurs moet trekken om een nieuwe versie te gaan kopen
Deze patches zijn gewoon gratis en de gebruikers die dat willen kunnen gewoon Office 2000 blijven gebruiken zeker tot het einde van de extended support ergens in 2010 of 2011 en vermoedelijk ook nog wel daarna.
Hadden ze OpenOffice gehad dan hadden ze inmiddels minimaal 2 full product upgrades moeten doen inclusief testen en implementatietrajecten daarvan.
Ik bagatelliseer niet de ernst maar herhaal exact de ernst zoals die in de security bulletins is beschreven.
Misschien is dat voor jou niet duidelijk maar er staan heel expliciet in dat de gepatchte lekken alleen voor powerpoint 2000 kritiek zijn.
Dat is gewoon een feit.
Verder staat er ook in dat het security bulletin 14 lekken ptached maar zijn de meeste Office versies voor 13 van die lekken ook zonder patch al niet vunerable. Er is slechts 1 van de 14 patches die voor het merendeel van de powerpoint versie geldt.
Niks bagatelliseren maar gewoon de feitelijke informatie uit het security bulletin geven.
hoor ik daar een lama schijten?
OOo upgraden is heel simpel. Niks geen moeilijke acties die je moet doen, in tegenstelling tot microsoft office waar ik al vaak genoeg heb gezien dat je eerst office moest uninstallen voordat je een nieuwe versie er op kon zetten. weet niet meer welke office versie dat was maar dat zorgde wel voor de afknapper waardoor ik naar OOo ben gegaan
Ik ken trouwens geen enkel bedrijf dat tien jaar doet met een office versie.
Dan ken je vermoedelijk ook weinig bedrijven die nog Office 2000 gebruiken en dat is de enige versie waarbij nu kritieke lekken worden gepatched.
[Quoting self]
Ik denk dan ook dat er nog best veel consumenten zullen zijn die een oude outdated versie hebben.
daar zijn de hAl draaien ook alweer.
Zijn belangrijke problemen niet belangrijk, en zijn alleen kritieke problemen belangrijk?
Belangrijke problemen zijn pas een risico als de gebruiker bereid is een waarschuwing voor het openen van onveilige bestanden te negeren. Dergelijke gebruikers kun je ook met een willekeurige andere methode dan met dit lek besmetten met malware. Gebruikers die expliciete waarschuwingen negeren zullen altijd risico lopen ook als ze deze patch hebben. Je hebt namelijk helemaal geen lek nodig om dergelijk onzorgvuldige gebruikers te besmetten.
Daarom zijn er dus ook deze patches.
Het uitbrengen van patches brengt niet het internet in het geding maar houdt dat juist veilig.
Het blijkt echter ook dat modernere software pakketten van bijvoorbeeld Microsoft (en naar ik aanneen ook van andere leveranciers) vaak minder gevoelig zijn voor lekken.
Ook hier zie je dat naarmate de dversies recenter zijn er veel minder lekken gedicht moeten worden. dit zelfde zie je ook bij bijvoorbeeld Windows XP en Vista waar regelmatig blijkt dat ernstige lekken in XP in Vista niet voorkomen of daar niet geexploitereerd kunnen worden.
Dit is hopelijk een algemene trend in software ontwikkeling waar de focus op security in software sterk is gestegen en recent ontwikkelde software duidelijk betere resultaten op beveiligingsgebied laten zien.
ik zal je wat sterkers vertellen. Op de hoge school leiden zijn nog computers met office 97 en works 5.0 te vinden
Scholen, daar verbaast het me weer minder. Maar bedankt voor de heads up. Ik ken ze niet, maar ze bestaan duidelijk wel. Ik hoop alleen wel dat het heel beperkt is.
In dat geval zet ik wel enige vraagtekens met de koppen van verschillende artikelen
OSX krijgt Patch voor twee maanden oud gat
http://feeds.webwereld.nl/~r/Webwereld/~3/7XHXyR66OXs/os-x-krijgt-patch-voor-twee-maanden-oud-gat.html
En dit artikel
Microsoft dicht kritiek gat in Powerpoint
Maar misschien zie ik wel spoken.
Toch heftig dat je een applicatie met een os probeert te vergelijken. En je veegt ook nog eens een stapel 3rd party software bij op die hoop. :D
MS heeft deze maand geen andere patches voor zijn OSen, alleen 1 applicatie. Daarom is het helemaal netjes van MS.
Als het OS en de andere applicaties niet gepatched hoeven te worden, dan kun je dus je virus scanner uitzetten ?!
Als je alleen software koopt bij betrouwbare leveranciers en geen documenten met anderen deelt, kun je dan je virus scanner uitzetten?
Ik ben het met SED eens. Bij Windows *moet* je daarnaast altijd de netwerkkabel ook ontkoppelen, anders kan je nooit zeker zijn van je veiligheid. Het spreekt vanzelf dat contacten via diskette en/of usb apparaten ook uit den boze zijn.
Onzin natuurlijk, dat geldt voor ELK OS. De enige veilige computer is er één die uit staat. Alle andere kun je hacken, cracken, bewormen, en meer van dat ongerief. Het is alleen bij de ene wat lastiger dan bij de andere.
Het is alleen bij de ene wat lastiger dan bij de andere.
Ik vraag me of dat niet is wat Peter bedoelde?
Laat me dit uitleggen:
In het verleden heeft Windows het vaak makkelijk gemaakt middels autostart functies op CD's en USB's (rootkits van Sony). Shares waar virussen zich actief naartoe verspreiden. Gewone applicaties/internetbrowsers/emailers die altijd in administrator-modus draaide.
Er is sindsdien veel verbeterd, maar veel ook niet. De (thuis-)gebruiker is dezelfde gebleven, en die (thuis-)gebruiker komt voort uit een slechte traditie.
Die (thuis-)gebruiker zet bijvoorbeeld de UAC uit.
Hij download software uit onbekende bron.
Hij start die in admin-mode, etc.
Het gaat hier over de periodieke patches-rondes van MS & Apple. Als MS 1 patch voor een OS had gehad, had je de vergelijking dan beter gevonden?
Jawel, als je periodiek als "regelmatig terugkerend" beschouwd, brengt Apple zijn patch dus periodiek uit.
De periodes zijn zeker niet gelijk, dus moet je normaliseren, i.e. het aantal patches per gehanteerde periode.
D.w.z. het aantal patches per tijdseenheid.
Wat het wel wegneemt, is de geldigheid van de volgende vergelijking:
MS: 14 fixes in 1 applicatie, vergeleken met 67 fixes op Mac OS/X
Wat het wel wegneemt, is de geldigheid van de volgende vergelijking:
Dat is erg relatief.MS: 14 fixes in 1 applicatie, vergeleken met 67 fixes op Mac OS/X
Je kan dat ook omdraaien en dan zie je dat voor mensen met Vista en MS Office 2007 er precies 1 patch is en voor mensen met OS X en MS Office 2008 er 67 + 1 = 68 patches zijn.
Dus omdat Microsoft deze keer minder patches heeft dat Apple, is Microsoft over de hele linie beter? En dat Apple 3rd party software meepatcht negeer je ook liever. Heel logisch! :D
Ik dacht dat je het als grap bedoelde in je eerste bericht, maar het lijkt erop dat je jezelf serieus neemt.
Apple patcht idd ook '3d party' software, *wanneer* zij dat standaard meeleveren (met bv het OS). Lijkt me ook wel zo logisch.
En ja, het was green grap. Als je kijkt naar de hele MS productline (en dat zijn nogal wat producten), dan is het toch netjes dat er maar voor 1 applicatie fixes nodig zijn.
Ik begrijp het. Omdat Apple updates voor Flash uitbrengt waar Microsoft dat weigert, maakt dat Microsoft veiliger. Met die logica kan ik het gevecht niet aan, dus ik geef je maar gelijk. ;) Je hebt gelijk 7.
Microsoft brengt wel degelijk security updates uit voor versies van Flash die meegeleverd worden met Windows. Verder hebben recente Flash versies op Windows hun eigen automatische update-functie, direct via Adobe. Vreemd trouwens dat dit nog niet op de Mac kan.
Jawel, als je periodiek als "regelmatig terugkerend" beschouwd, brengt Apple zijn patch dus periodiek uit.
Begrijp dat nou. 7 vergelijkt liever appels met peren. Dat dat niet past maakt hem vandaag niets uit want de vergelijking geeft hem gelijk. Logica is hier verder niet van toepassing. Ik laat het verder maar gaan.
Ik vergelijk geen appels met peren. Ik vergelijk hier de periodieke patches. Ja, Apple patcht niet iedere maand, maar +/- iedere 2/3.
Anyway, mijn hele punt was dat 1 patch voor de gehele MS product-library erg weinig is. En daarom zei ik "netjes van MS".
Om even mee te klunen.
Het lijkt mij wel erg weinig voor de portfolio van MS met al haar producten, hebben ze geen tijd met WIN7 in het verschiet? Vinden ze het wel aardig staan in vergelijk met Apple om seven PRX mensen te voeden? Hoeveel hebben ze er nog 'open' staan binnen het 'gesloten' bedrijf? Ja je weet het niet, je kunt het ook niet weten.
Het enigste dat je wel weet is dat een ieder zichzelf respecterend software bedrijf zijn software veilig en goed probeert te houden, in welke mate en hoeveelheden dan ook.
Een ieder heeft de keuze gemaakt om dit uit te brengen en voor elke vorm en uitvoering zijn voor en tegenstanders, zo er ook mensen zijn die overal een punt in zoeken.
Beste Zwart-Wit
In veel bedrijven waar ik kom is het zeker niet ondenkbaar dat extra test- en ontwikkelcapaciteit wordt toegevoegd aan een project dat in een cruciale fase zit. Het is dus zeker niet ondenkbaar dat onderhoud van bestaande software daardoor enige vertraging oploopt.
Ik zou de opmerking van Laps daarover dus niet willen typeren als zielig. Tenminste niet zonder enige argumentatie.
Het kan natuurlijk ook zijn dat je gewoon even wild wilde schoppen. In dat geval mag je deze reactie als niet geschreven beschouwen.
Wat fijn. Eindelijk een M$-update die niet vereist dat je je PC opnieuw opstart; het lijkt Firefox wel (behalve dan dat Firefox-updates 10 minuten tijd kosten en deze M$-meuk twee uur!)
Bij mij ook, 0.0 Kb in 0 seconden, fijne update toch.... ;-)
Edit: dat is een stuk sneller dan hier een bericht plaatsen, de Webwereld site is de hele dag al een ramp.
Voor sommige mensen is een verbinding belangrijker dan de snelheid. Voor anderen is een PC belangrijker dan de snelheid. En voor weer anderen is vervoer belangrijker dan de snelheid.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
