Microsoft heeft gisteren een reeks beveiligingsproblemen gemeld, waaronder een kritisch gat in softwarepakket Office.
Dit is een fout in de onderliggende VBA-software (Visual Basic for Applications). Die wordt gebruikt om desktopapplicaties op elkaar in te haken, zoals de verschillende programma’s in het Office-pakket. De fout in VBA maakt het mogelijk voor kwaadwillenden om onder bepaalde omstandigheden pc’s met Windows over te nemen.
Hiervoor moet een gebruiker wel een document met kwaadaardige code ontvangen en openen. Indien echter Microsofts e-mailclient Outlook staat ingesteld om Word te gebruiken voor het bewerken van html-documenten, dan is een gebruiker al in gevaar als hij antwoord op een toegemaild bericht of het doorstuurt.
Deze fout betreft recente versies van Office, waaronder versies 97, 2000 en 2002 van de applicaties Access, Excel, Powerpoint en Word. Daarnaast raakt het ook versies 2000 en 2002 van Project, Visio en de Works Suite. Van die laatste loopt ook versie 2001 risico. Verder zijn diverse andere applicaties in het geding, waaronder versie 7.5 van de overgenomen Great Plains-boekhoudsoftware die Microsoft onder zijn Business Solutions-tak uitbrengt.
Dit is de belangrijkste, maar niet enige fout die Microsoft nu meldt. De diverse beveiligingsbulletins geven meer details en verwijzen ook naar lapmiddelen voor de diverse gaten. Het bedrijf raadt gebruikers aan die te downloaden van de Office Update-site (http://office.microsoft.com/productupdates/) en te installeren.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-034.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-036.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-037.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-038.asp
Daarnaast adviseert Microsoft verstandige e-mailprocedures te hanteren. Critici interpreteren dit als overstappen naar in ieder geval een andere mailclient. Microsofts Outlook staat slecht bekend vanwege beveiligingsproblemen – en de virussen en wormen die daar gebruik van maken.
De leverancier doelt echter op zinnig gebruik van e-mail. "Als je een attachment ontvangt van iemand die je niet kent, dus iets wat je niet verwacht, dan moet je zeer voorzichtig zijn", zegt de Amerikaanse Office-productmanager Simon Marks.
Ja ik kijk inderdaad reikhalzend uit naar een andere mailserver dan Outlook.
En eigenlijk ook naar andere SAPjes dan die van Microsoft.
Microsoft maakt het zijn klanten nog steeds bijna onmogelijk de patches toe te passen: ‘Houd uw originele installatieCD’s gereed’ heet het telkens na alwéér een patch en alwéér een update bij een beveiligingslek.
Wil Microsoft (Zullen we de ‘i’ voor een ‘a’ vervangen en de ’t’ maar weglaten?) deze ‘strijd’ overleven, dan moet het bedrijf onverwijld patches / reparatiesoftware ter beschikking stellen.
Voor mij is dat dan overigens wél te laat: nu effe niet… No more patches!
Ik vertrouw voorlopig op de digitale-drie-eenheid van Gezonde verstand, Firewall en Virusscanner.
Het eerste is hopelijk bij mij aanwezig, de nummers twee en drie staan mij tot nu toe adequaat bij.
(Geluk bij een ongeluk: NIET via de Monopolist uit Seattle!)
Ja, er is ook werkelijk niets anders te koop! Denk eens aan GroupWise (Novell) Notes (IBM/Lotus).