Georgi Guninski vindt grote bug in Office XP's Outlook

Georgi Guninski - vooral bekend van het zoeken naar bugs in Microsoft-producten - is laatst aan de slag geweest met Office XP. In een artikel op zijn website is hij echter niet zo positief over Microsoft's nieuwste office-suite. "Hoe meer geld ik aan Microsoft geef, hoe kwetsbaarder mijn Windows-computer wordt", aldus de bugjager. Reden voor deze uitlating is, zoals al wel te verwachten was, een security-fout in Office XP.

Het probleem deed zich voor op een Windows 2000 computer, met Internet Explorer 5.5 (laatste versie) en Office XP geïnstalleerd. Als een bepaalde speciaal voor dit doel ontworpen HTML-pagina geladen wordt in Internet Explorer of via Outlook XP, dan kunnen allerlei ActiveX-commando's uitgevoerd worden. Het gevolg kan zijn, dat een kwaadwillende persoon volledige toegang tot het systeem krijgt.

De zondebok moet gezocht worden bij Microsoft Outlook View Control, een ActiveX-control. Dit onderdeel dat door Outlook XP geïnstalleerd wordt, geeft onder andere toegang tot de e-mailberichten op de computer van het slachtoffer, alsmede de mogelijkheid tot het uitvoeren van elk willekeurig programma. Guninski heeft zelf een script gemaakt, dat een demonstratie is van de beveiligingsfout. Om dit te gebruiken moet je echter wel minstens één bericht in je Outlook XP mailbox hebben staan.

Outlook

Door Mark Timmer

Feedback • 14-07-2001 11:04 72

14-07-2001 • 11:04

72

Bron: Guninski.com

Lees meer

Problemen Office XP SP3 in combinatie met spamfilters
Problemen Office XP SP3 in combinatie met spamfilters Nieuws van 13 maart 2004
Outlook 11 zal het spammers moeilijk maken
Outlook 11 zal het spammers moeilijk maken Nieuws van 1 november 2002
Header-virussen omzeilen contentscanners
Header-virussen omzeilen contentscanners Nieuws van 17 februari 2002
'Skin' Media Player geeft hacker toegang tot systeem
'Skin' Media Player geeft hacker toegang tot systeem Nieuws van 17 januari 2001
Beveiligingsfout in Media Player 7
Beveiligingsfout in Media Player 7 Nieuws van 5 januari 2001
Wederom beveiligingslek in Internet Explorer
Wederom beveiligingslek in Internet Explorer Nieuws van 22 november 2000
Bugjager ontdekt nieuw lek in Internet Explorer
Bugjager ontdekt nieuw lek in Internet Explorer Nieuws van 16 augustus 2000
M$ Bug$ NT en M$ IE 5
M$ Bug$ NT en M$ IE 5 Nieuws van 27 augustus 1999
Meer producten en artikelen
Software

Reacties (72)

-Moderatie-faq
72
62
40
15
1
0
Wijzig sortering
Anoniem: 29057 14 juli 2001 20:30
LETOP

zoek in je registry naar deze key:

0006F063-0000-0000-C000-000000000046

verander deze naar iets anders
bijvoorbeeld

2226F263-2222-2222-C222-222222222246

en het werkt nietmeer..

of delete de volgende file
officeinstalldir\Office10\OUTLCTL.DLL

behoorlijk Verneukende bug..
je kan namenlijk ook zo
CMD.EXE met Delete *.* /s -y
aanroepen
Bart B 14 juli 2001 11:31
[off-topic]
Ik weet een superoplossing voor dit probleem:
PINE4.33 :) onder linux en windows verkrijgbaar. Daar is het dus absoluut niet mogelijk om een scrippie te starten :+ En het als je een vaste verbinding hebt met internet kun je via telnet of SSH overal op de wereld je email lezen.
[/offtopic]

Het probleem met programma's van microsoft is dat het een verzameling van objecten is en die worden aan elkaar gekit. die objecten hebben meer mogelijkheden dan worden gebruikt in het programma zodat ze later in andere programma's exact het zelfde kunnen gebruiken.
Het domste wat microsoft heeft kunnen doen is activeX componenten in windows te intergreren. Dit zijn gewoon programma's die alle rechten hebben om van alles te wijzigen (zeker de oude windows kennen geen gebruikersbeheer). Hier zie je weer de laatste variant van programma's die ongewilde acties kunnen uitvoeren.
Crazy D @Bart B14 juli 2001 13:12
Het domste wat microsoft heeft kunnen doen is activeX componenten in windows te intergreren. Dit zijn gewoon programma's die alle rechten hebben om van alles te wijzigen
Het is op zich zeker niet dom geweest activex te introduceren in Windows, biedt een hoop voordelen, en dat merk je ook aan een hoop software die er uitkomt (integratie == gebruiksgemak). Het was wel vrij dom vind ik om dit in webpagina's toe te staan. Of op z'n minst dat ze activex op een webpagina dezelfde rechten geven als activex wat gebruikt wordt binnen een programma.

Maar (ook) ik verbaas me er wel een beetje over dat er weer zo'n bug gevonden wordt. Je zou toch idd. wel verwachten dat MS outlook (express) 10 keer zo goed zouden testen, gezien de history met bugs die gevonden zijn. Al is het maar om die meneer Guninski en de negatieve publiciteit voor te zijn, je weet toch wel zeker dat hij ieder bitje gaat omdraaien om maar een bug te vinden.
wzzrd @Crazy D14 juli 2001 15:33
Daar heb je zeker gelijk in, maar laten we de VB-scripts en -in behoorlijk mindere mate- de JavaScripts niet vergeten! Als we het over veiligheidsgaten hebben, weet ik er daarmee nog wel een paar.

Ik begrijp niet waarom MS niet leert van het gelazer met VBScipt onder oudere Outlook versies en die meuk nou voor de verandering eens standaard uit zet...

Maar Microsofts policy is nu eenmaal: we zetten alles standaard aan, dan hoeft niemand naar de "aan"-knop te zoeken. Ons probleem is: de "uit"-knop zit daarnaast en is vaak navenant moeilijk te vinden... :)
jellyshock 14 juli 2001 11:15
aarghh, ik vraag me toch zo langzamerhand af waarom de makers van dit produkt dit soort bugs niet kunnen voorkomen. Je ziet dat bij elk e-mail programma van MS dit soort fouten zijn gemaakt. En dan nu weer bij het nieuwste produkt :? ik snap het gewoon niet.
Artcore @jellyshock14 juli 2001 11:28
Iedereen doet net of alle MS producten vol met dit soort bugs zitten. Die Guninski echter doet niks anders dan bugs zoeken in MS producten. Eens in de zoveel tijd vindt ie dan eens een grote bug, en dan staat iedereen weer op zn achterste poten, zo van 'Jaja, het is weer raak bij M$'. Dit terwijl het best meevalt met de bugs, alleen omdat het van MS is wordt het dan weer opgeblazen.

Dat is dus echt bull. Als hij deze bug niet gevonden had, was niemand erachter gekomen en was er verder ook niks gebeurd.
BadRespawn @Artcore14 juli 2001 20:46
valt wel mee? er worden voortdurend meer of minder ernstige veiligheids bugs in MS
software gevonden (en dan laat ik andere bugs buiten beschouwing)

"niks gebeurd" als die GG het niet had gevonden?
"niks" als in "geen patch"? Fraai zou dat zijn. Maar lijkt me stug; het is een ernstige bug en dat trekt nu eenmaal de aandacht, wie het ook vindt.

-
Anoniem: 27277 @Artcore14 juli 2001 12:13
Ik vind van niet. Bij alle platformen wordt er op bugs gejaagd, en bij Microsoft is het wel erg vaak raak. :(
Roelant @Anoniem: 2727714 juli 2001 12:18
Bij microsoft is het misschien wel vaker raak dan bij andere platforms, maar als er bij microsoft een bug word gevonden word het ook wel met veel tam tam gepresenteerd.

De invloed van de media mag je imho dus ook niet uitwissen.
Booster @Anoniem: 2727714 juli 2001 15:12
Het lijkt me ook dat dit best wel met tam-tam gepresenteerd mag worden.
De meest vurnerable users draaien namelijk Windows en eventueel Outlook (ik bedoel dus de gebruikers die NIET veel van computers weten en dus ook niet aware zijn van dit soort bugs).

Oftewel, het is niet zo verkeerd dat het met tam-tam gepresenteerd wordt, dan komt het nieuws misschien ook nog terecht bij de 'normale' gebruiker.
boner @Anoniem: 2727715 juli 2001 23:09
Bij MS wordt relatief goed gezocht. Een heel groot gedeelte van de bug-zoekers en hackers zijn erg tuk op MS.

Kijk maar eens op dit forum en zie hoeveel mensen een pesthekel aam MS hebben.

Dus relatief veel mensen in een enorm grote communitie geeft dus ook een enorme hoeveelheid resultaat.

Plus veel tam tam als er weer eens iets gevonden wordt en bingo MS suckZ wordt en dan gescjreewd.

Begrijp me goed is ben er ook voor dat programmas zo wordengemaat dat het niet op kan treden maar programmeren is nu ook een vak waar onder druk van de time-to-market veel ommisies op worden gedaan.
Anoniem: 1572 @jellyshock14 juli 2001 12:26
Bij windows is er gekozen voor gebruiksvriendelijkheid dus als je voor dit systeem kiest maak je zelf de keuze je kan ook linux of freebsd installeren maar dit is veel ingewikkelder omdat er geen wizards, koppelingen e.d. inzitten deze vergemakkelijken het werk wel maar veroorzaken ook veel security holes
Bezulba @Anoniem: 157214 juli 2001 13:54
linux is out of the box ook harstikke gatenkaas.. alleen hoor je daar nooit wat over omdat linux zo cool is... iedereen gebruikt ms outlook dus vind je ook eerder bugs cq exploits. maar al zou iedereen bijv pegasus gaan gebruiken zouden daar weer exploits voor verschijnen
reinouts @Bezulba14 juli 2001 14:28
Je vergelijkt een operating system met een email applicatie? :?
Maar die opmerking raakt sowieso kant noch wal. Als je een oude distro installeert waar bekende vulnerabilities inzitten, dan weet je wat je kan verwachten. Nieuwere distro's die niet standaard allerlei services aanzetten, met automatische security updates etc. zijn nog niet zo gatenkaas als jij blijkbaar denkt.
Spikey 14 juli 2001 11:15
hmmm dit is idd een behoorlijk grote bug jah :(
om eerlijk te zijn begin ik er aan te twijfelen om XP eraf te gooien en te w88 tot M$ met een patch hiervoor komt want dit is wel een erg open deur natuurlijk :(

verder weet ik alleen niet of het wel een goed idee is om z'n script dan maar meteen online te gooien.. beetje persoon kan dan zo dat ding gebruiken, aanpassen en veel schadelijker maken lijkt me :(
Booster @Spikey14 juli 2001 15:09
In principe is dat gewoon een manier om MS te dwingen snel een patch uit te brengen. Iets wat ik persoonlijk overigens niet verkeerd vind.

Microsoft moet maar eens leren van deze fout, ze hebben nu al vaak de kans gehad, vele ActiveX-bugs en exploits werden gepubliceerd en nu sturen ze zichzelf weer het bos in met deze fout wat voor een bedrijf dat zoveel geld heeft en zoveel medewerkers en kennis gewoonweg onacceptabel is.
wildhagen @Spikey14 juli 2001 20:33
Ach, waarom disable je dan gewoon de ActiveX-components niet, in je Security Settings? Ben je d'r ook vanaf...
ddofborg @Spikey14 juli 2001 23:37
aangezien ik ActiveX uit heb staan, werkt die script niet :) :) :) :) :) :) :)

maar ja, als je in Windows/IE/Office alle (inter)net(werk)-features uitzet, dan ben je ook best veilig... maar ja, dat is met alles zo...


DD
Anoniem: 30534 14 juli 2001 11:49
Uiteraard een groot security leak, maar niet in Outlook 2002 specifiek, maar in een Active X control, wat net zo makkelijk misbruikt kan worden bij Outlook 2000, 98 etc.... Alleen bij XP is het control by default geinstalleerd...

Voor Outlook 2000,98 gebruikers (dus zonder het Outlook View Control Active X) gewoon op letten dat je je niet laat verleiden tot het downloaden van het Active X control.

Voor Outlook 2002 gebruikers, het Active X control van je systeem verwijderen...
Anoniem: 30262 @Anoniem: 3053414 juli 2001 12:48
Hoe kun je die Active X control de-installen in Office XP? Ik snap wel dat dat bij Ad/Remove Programs kan, maar waar staat die shit?
Dennis van der Stelt 16 juli 2001 09:09
Jij bent zeker geen programmeur!?

OfficeXP is zó vreselijk groot en heeft zó vreselijk veel regels code (neem ik aan ;) ) en wordt met zoveel mensen aan gewerkt dat het onmogelijk is om elke fout eruit te halen.

Er is niet één programma van die omvang zonder weet-ik-het-hoeveel bugs erin.
afterburn 14 juli 2001 12:20
Wordt alleen weer 'vergeten' te vermelden dat ActiveX controls _DEFAULT_ disabled staan in OutlookXP, en iemand die er dus last van heeft dit _BEWUST_ heeft aangezet. Oftewel, dit is weer een standaard flame om MS af te kraken.
Brynnie @afterburn14 juli 2001 12:36
Zeg er dan eens bij hoe je die ActiveX controls uitzet.

Want ik weet dat ik in elk geval die controls hier niet op elke PC op 't bedrijf heb aangezet en de bug "werkt" wel op elke PC, dus ik vermoed dat die ActiveX controls default wel aanstaan.

Maw: Hoe zet je die uit, want ik vind dat niet direct terug in de Outlook settings...

Edit: typo's...
lost95 @Brynnie14 juli 2001 13:03
Ik ga ervan uit dat dat in IE moet gebeuren (tools --> internet options --> security --> custom level)
wildhagen @lost9514 juli 2001 20:35
Klopt, zet gewoon alles op Disabled (of desnoods Prompt), en je bent van het probleem af.

Overigens staat hij daar vaak al op, dus is er überhaupt niet eens een probleem.
Booster @afterburn14 juli 2001 15:16
Die ActiveX controls staan standaard wel aan, want Microsoft wil er zelf natuurlijk ook graag gebruik van maken.

Oftewel, als ze het standaard uit zouden zetten, zouden alle mensen die niet zoveel verstand hebben van computers het ook niet AAN zetten, en lopen ze een groot deel van hun markt mis kwa gebruik van ActiveX.
afterburn @Booster14 juli 2001 18:35
ActiveX is bedoeld voor andere zaken dan email. En in XP staan ze dus standaard uit (voor email). In 2000 waarschijnlijk niet trouwens. Maargoed.

In Outlook: Tools > Options > Security Tab, Zone Settings, Custom Level: ActiveX Controls and Plug-ins. (Edit: Dit is dus NIET hetzelfde als diezeflde settings in IE! Je kan ActiveX dus in IE aanzetten, en in Outlook uit.)
wildhagen @afterburn14 juli 2001 18:36
Hmm, even gechecked hier met Outlook 2000, en daar staan ze standaard ook disabled
afterburn @afterburn14 juli 2001 18:42
Idd een echte 'bug' dus. Standaard staat het uit, en aangezien het behoorlijk diep weggestopt zit, moet iemand het dus bewust en waarschijnlijk met goede reden aanzetten. Deze weet dan ook (hopelijk) de mogelijke risico's van onbekende ActiveX controls.

Oftewel, het bekende verhaal van hoe kan ik een feature zo uitbuiten dat halve wereld ervan over de zeik gaat en het een bug gaat noemen.
Anoniem: 10621 15 juli 2001 01:36
tuurlijk zie je dat goed, en dat zal ook best gedaan zijn, maar Georgi Guninski is ook niet zomaar iemand, ik bedoel, hij vind wat anderen over t hoofd zien.

M$ zal natuurlijk niet de kwaliteit ten koste willen laten aan wat dan ook. Daarom zijn er ook beta's naar de betatesters gestuurd om de kwaliteit op te kricken.

Maar bug's zullen blijven bestaan omdat er ook steeds nieuwere/geavanceerdere opties komen/zijn zoals activeX, denk bijvoorbeeld ook aan de password mailer van t.net, daar waren ook niet alle opties helemaal bekend (NO flame intended) als ik t me goed herinnner

[(don't get me wrong, i'm NOT a BIG fan of microsoft)]
ignitem @Anoniem: 1062115 juli 2001 02:27
M$ zal natuurlijk niet de kwaliteit ten koste willen laten aan wat dan ook. Daarom zijn er ook beta's naar de betatesters gestuurd om de kwaliteit op te kricken.

Een goed programma begint bij een goed ontwerp, gestructureerde code etc. Het testen met behulp van beta-versies is slechts een van de laatste fasen in het test-proces.
Of dit ook het geval is, is moeilijk te bepalen aangezien de M$ code niet open-source is.
Anoniem: 4640 14 juli 2001 11:46
Solution:
Uninstall Office XP and Windows.
Lachen met die Guninski :)
Anoniem: 9764 14 juli 2001 13:01
Artcore Trooper, ik ben het niet met je eens.. Tot nu toe is het kommer en kwel met de email produkten van Microsoft. Wij, de Universiteit van Amsterdam, werken, noodgedwongen, met Outlook, maar ik ben er zeer ontevreden over. Natuurlijk ligt Microsoft altijd eerder en meer onder vuur dan andere bedrijven, maar de fouten die tot nu toe in voornamelijk Outlook zijn gevonden kunnen echt niet.

Roeland

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq