11:07
26/1/2013

W serwisie 1337day.com (będącym połączeniem Milw0rma z Inj3ct0r), który publikuje i wystawia na sprzedaż exploity, właśnie umieszczono video pokazujące w akcji atak na pakiet biurowy Office 2003/2007/2010. Cena wywoławcza 20 000 USD. Exploit ma dotyczyć wszystkich service packów… i ponoć został zweryfikowany przez redaktorów serwisu.

Nie jest jasne, czy ktoś już kupił exploita i czy jest on już wykorzystywany w atakach w internecie. Ale zapewne dowiemy się o tym (mniej lub bardziej boleśnie) w przeciągu kilku dni… Może pora na bug bounty w Microsofcie?

Jeśli kogoś nie stać na tego 0day’a zawsze ma do dyspozycji kilkadziesiąt darmowych exploitów na pakiet Office. Lista tutaj. Można też uzbroić się w chwilę cierpliwości — może tak jak w poprzednią Wigilię, tak i w tą, 1337day.com zostanie zhackowany i wszystkie “prywatne” exploity wyciekną? :>

Przeczytaj także:



47 komentarzy

Dodaj komentarz
  1. Bardzo bezpieczny pakiet.

  2. Zjazd OpenOfficefagów (bo dziury to ich główny i prawie jedyny argument) za 3,2,1…

    • … 0, -1, -2, -3…

      Ale nie martw się, może następnym razem ;)

    • No, główny argument, to że jest za darmo, a i tak 90% opcji M$ Office nie wykorzystam. Poza tym nie działa na linuksie :(

    • @takwłaśnie, no właśnie ;). Zresztą ja nie potrzebuję żadnych makr (a gdybym potrzebował to OO/LO oferuje taką opcję), czasem potrzebuję coś napisać/zrobić prezentację, więc mi OO w zupełności wystarczy.

    • @Wiciu,
      tym postem właśnie potwierdziłeś to o czym pisałem – uderzyłem w stół a ty się odezwałeś.
      Może następnym razem Ci się uda :)

    • Nie jestem użytkownikiem OOa, ani AOO, więc w szczególności nie jestem „OpenOfficefagiem”.

      Próbuj dalej ;)

    • y: jak chcesz się dowartościować, to kup sobie psa, albo chomika… Daj innym odpocząć.

    • @Y dyskutujesz jak widze z faktami. Jest exploit? Jest. Kropka.

  3. Dawno temu próbowałem korzystac z OO, ale ergonomia użytkowania mnie przerosła. Prosty przykład – wykresy z Calca, przeniesione do Impress. Nie dało się zmienić ich rozmiaru, bez zmiany wielkości każdego elementu z osobna. Tak wiec mając 10 wykresów, przeskalowałem je do rozmiaru slajdu, musiałem osobno zmieniac wielkośc etykiet, słupków, etc. Głupota, po powrocie “kupiłem” MSO i tak zostało. Może kiedyś znowu spróbuję. Btw co się bardziej opłaca teraz – Open Office, czy Libre Office?

    • Z tym “opłaca” troche przesadziłem. Który z nich po prostu warto pobrać?

    • 1. Zgłosiłeś swoje uwagi twórcom, albo choć sprawdziłeś, czy ktoś inny na to zwracał uwagę?
      2. Jeśli potrzebujesz języka polskiego to tylko LO. Tak poza tym to słyszałem, że AOO jest całkiem niezły.

    • Co to jest AOO? I nie odsyłajcie mnie do google bo sypać
      skrótami każdy potrafi, a google nie zawsze wie jakiego ma użyć
      kontekstu.

  4. Przecież nie wyciekły wszystkie prywatne exploity.

  5. Pisze w notatninku :P

  6. Ciekawe czy podatność występuje również w wersji 2013 (15.0). Co do OpenOffice/LibreOffice to jeśli chodzi o przenoszenie elementów to według mnie nie dościgną Office’a z prostego względu: OLE/COM ta technologia została stworzona dla Office’a i dzięki niej można sobie wsadzić rysunek Visio i arkusz Excel’a do dokumentu Word’a i cieszyć się pełnymi możliwościami edycji.
    Do tych co mówią ‘Nie wykorzystujesz możliwości’ mówię jedno: ERGONOMIA, MS zauważył że kilometrowe menu są nieergonomiczne, konkurencja nawet nie spróbowała wprowadzić czegoś innego niż menu.

    • Ludzie tak są pod wrażeniem “ergonomii” microsoftu, że kupują ekstra apki do windows’a 8 przywracające menu start, a do office sam microsoft sprzedawał stosowny dodatek.

    • Pierwsze co robie po instalcji MS Office to przywrocenie tych kilometrowych menu. Dlatego ze wstązki są *idiotyczną* technologia dla kogoś kto potrzebuje stworzyć coś więcej niż 90% userów. Niestety MS tu nie ułatwia, równając do głupszych poprzez usuwanie menu. Dla tego marginesu obecność starego dobrego menu w OO/LO jest zaletą a nie wadą.

    • @Maciej Calligra… Udział w rynku prawie zerowy, ale w odróżnieniu od MS ktoś tam się puknął w głowę i nie robił menu żeby zrobić boczny panel, a nie u góry wstążki. Mamy XXI wiek, a MS kolejnych programach rozszerza w poziomie belki menu dodając wstążkę np. do eksploratora, w momencie w którym ekrany w swoich proporcjach przechodzą z 4:3 -> 16:10 -> 16:9 -> 2:1? Ilu użytkowników Windowsa obraca ekran o 90 stopni, żeby nadać tej tendencji wstążkowej jakiś głębszy sens?

      Ergonomia???

    • Wstążka jest powodem, przez który nie będę używał żadnego MS Office nowszego niż 2003. Na szczęście jest legalny LO, który nie wie lepiej od użytkownika co jest dla niego wygodniejsze.

    • michalzxc: potwierdzam, jak ostatnio coś robiłem na lapku ojca z win8 stwierdziłem że oni projektowali Metro dla mało inteligentnego szympansa i ze windows 7 był ostatnim systemem M$ który łaskawie tolerowałem na jednym z dwóch moich dysków… Nie ma to jak Linux i jego możliwość swobodnego wyboru środowiska graficznego.

    • Moim zdaniem niechęć do wstążki wynika z tego, że jest to
      coś nowego a ludzie boją się zmian. Parę chwil z nią i da się
      wszystko ogarnąć a pracując na co dzień zacznie zauważać zalety i
      nie chce się wrócić do długich menu z 2003. Po drugie to nie
      narzedzie dla specjalistów typu Matlab, AutoCAD tylko pakiet dla
      “sekretarek” (nie obrażając nikogo) – dziwie się tym co nie umieją
      takich rzeczy ogarnąć.

    • @Sebo: No wlasnie w momencie kiedy chcesz zrobic cos wiecej niz 90% userow ribbon pokazuje swoje najwieksze zalety. Zreszta “power user” i tak wiekszosc robi za pomoca skrotow klawiszowych. Zauwaz takze, ze bardzo latwo mozna modyfikowac ribbona w xmlu przez co budujac aplikacje w excelu (tak, niestety sa klienci ktorzy chca aplikacje w excelu i basta:/) mozesz w pelni dostosowac wszelkie opcje, menu, wyglad itd itp.
      Na poczatku bylem wielkim wrogiem tego rozwiazania, ale pracujac na MSO 2007 przez 3 lata dostaje drgawek jak musze sie meczyc z 2003.

    • “nie chce się wrócić do długich menu z 2003. Po drugie to nie
      narzedzie dla specjalistów typu Matlab, AutoCAD tylko pakiet dla
      “sekretarek” (nie obrażając nikogo) ” – Wstazki sa w AutoCAD… :| niestety.. menu i “ikonki” wedlug mnie wygodniejsze niz wstazki.. na szczescie mam office 2003 i autocad 2006:) z darmowych pakietow lepsze niz OO byl lub jest(?) IBM Lotus Symphony:) mial czasami problemy, ale OO w tym czasie mial wiecej jak go uzywalem.

  7. Czego tak krzyczysz – vupen cały czas jakieś 0daye sprzedaje

  8. OpenOffice (i podobne) są bardzo dobre – jedyne w swoim
    rodzaju oprogramowanie które jest w stanie przekonać wielu
    użytkowników, że warto zainwestować w mso :D

    • Zgadzam sie.

      LO czy OO – na studiach przekonalem sie dlaczego sa to produkty duzo nizszej jakosci niz MSO. Piszac sprawozdania i opracowujac dane + tworzac wykresy znienawidzilem pakiety biurowe. MSO sprobowalem w Virtualboxie (jestem linuksiarzem). Jest o niebo lepszy, ale i tak kuleje na przypadlosci pakietu biurowego (umieszczanie obrazkow w tekscie to meka, meka i jeszcze raz meka). Z wykresami przenioslem sie juz do Scilaba, nastepny krok to Latex… wystarczy chciec.

      P.S. sorry za brak polskich znakow, eksperymentuje z budowaniem wlasnej dystrybucji i jeszcze tego nie skonfigurowalem :P

  9. To co, że niby za 20 koła podmienią mi skrót z Worda na Kalkulator ? Spoko, ja to zrobię za połowę taniej.. są chętni ?? :))

  10. Ten film to trochę słaby dowód na działanie exploita. Tworzony jest dokument starego worda (<2007), który może przecież zawierać makra (nie było wtedy jeszcze różnych rozszerzeń dla plików z makrami i bez). Z kolei to, czy makro zostanie uruchomione, czy nie, zależy od poziomu zabezpieczeń – a tego, jaki jest ustawiony w tym przypadku, nie widać.

    • Łatwiej by było zrobić włączanie kalkulatora na jakimś
      przycisku a crash Worda jakoś spowodować si\ę pewnie da :)

  11. Chwila, moment. Wstążka to najlepsze posunięcie MS. Jak wyszedł 2007 to ciężko było coś znaleźć. Po miesiącu używania – bez wstążki nie mogę pracować. Tak mi się spodobała, że kupiłem legalny office. Nawet autocad korzysta z wstążki.

    • Jeżeli korzysta się z tych wszystkich przycisków do
      pogrubienia, wyjustowania itd. to faktycznie wstążka może być
      wygodniejsza niż przeklikiwanie się przez klasyczne menu. Jeżeli
      ktoś korzysta ze stylów(bo jest leniwy) to jednak MSO od LO
      odstaje.

    • Parzcież style też masz wszystkie w prosty sposób pokazane na wstążce.

    • Miałem na myśli korzystanie z własnych stylów, i jakie możliwości one dają.
      W LO da się ustawić o wiele więcej(chociaż porównanie mam tylko z mso 2010).

  12. @maciej, ktos mi ostatnio wyslal dokument docx ze wstawionymi arkuszami excella i grafami w visio. zdziwilem sie ze na LO nawet grafy moglem spokojnie edytowac (nawet nie pamietam jak sie ten program od LO nazywal ktory to otworzyl). Ale to byl wyjatkowy raz jak uzywalem offica. Nie widze sensu uczyc sie uzywac M$ offica jak LO dziala mi na kazdym systemie. Jesli masz problemy z uzywaniem LO to dlatego ze sie nauczyles uzywac MO, ktory sie swietnie trzyma bo nie obsluguje ODF. To jest glowny powod nieuzywania darmowych pakietow biurowych.

  13. @takwlasnie – jak nie obsługuje, jak obsługuje? :) od wersji 2007, czyli tej sprzed 6ciu lat… Ergonomia MSO wręcz niszczy darmowe pakiety. Najbardziej banalne czynności wymagają domyślania się “co autor menu miał na myśli”, natomiast w MSO po prostu wykonujesz czynność… Można nie lubić MS, można narzekać na ceny, natomiast nie da się porównać tych dwóch apek… A co do bezpieczeństwa – OO/LO chodzą w Javie, tak? :)

    • Trzon OO/LO nie chodzi na Javie. Raczej kilka różnych części, nie wiem na ile kluczowych, ale to zależy od użycia: https://wiki.documentfoundation.org/Development/Java

      Generalnie za dużo mnie to nie obchodzi, bo nie lubię pakietów biurowych i na szczęście nie muszę mieć za dużo z nimi do czynienia. Więc z dwojga złego wolę już darmowy, bo i tak rzadko go wykorzystuję.

    • Miałem nieprzyjemność składać komuś w mso pracę inżynierską (swoją składałem w Latexu). Jakakolwiek zaawansowana edycja (podpisy pod obiektami, listy ilustracji, spisy treści, style) to męka. Microsoft wie lepiej jak chcesz sformatować dokument. W OO jest tylko niewiele lepiej niestety, ale jednak lepiej.
      Za to bardzo podoba mi się w mso połączenie ze skydrivem. Wychodzi z tego Google Docs, tylko można robić tak zaawansowane rzeczy jak np. scalanie komórek w tabeli.

  14. Gratuluję wywiadu w tvp. Była okazja zobaczyć Piotra :)

  15. tylko LaTeX może Nas uratować :)

  16. Mała wpadka z tym pokazem na youtube – widać początek złośliwego pliku (a raczej skryptu który tworzy plik) szybki OCR i mamy coś takiego : http://pastebin.com/7kMVbXF2 . Najbardziej istotny fragment tego dokumentu to \object\objocx i guglując tą frazę można znaleźć informacje na temat faktycznej dziury, która opiera się na przepełnieniu buforu w wyżej wymienionych wersjach worda, a nawet informacje na stronie technet MS o łatce http://technet.microsoft.com/en-us/security/bulletin/ms12-027 . Więc albo ta oferta to dokładnie to samo co już jest dostępne (bo faktycznie bez łatek office polegnie) albo wariacja na ten sam temat, co wątpliwe, bo poza obsfukacją przynajmniej początek pliku nie różni się niczym do dostępnych expoitów w internecie.

  17. Czy dotyczy również wersji mobilnych Office’a?

  18. Szkoda, że autor nie zasugerował Microsoftowi aby sobie kupił ten exploit – 20k USD to tylko jakieś 100-200 pakietów Office według ceny rynkowej :), tyle to już pewnie na nim zarobili…

    P.S. Ja do pisania plików używam portu szeregowego podpiętego do napędu taśmy magnetycznej, poza małymi przekłamaniami bitów jeszcze nikt mi się nie włamał.

    • Marketing z MS pewnie będzie się targował żeby w tej cenie dodali im też wszystkie exploity na Office 2013 z dokumentacja w 6 wersjach językowych i kodem w .net_4.5 :-P

  19. O masz Ci los, a Ja właśnie Office’a
    mam dla Klienta zainstalować.

    Powiedzieć mu o tym?

    Miłego dnia!

  20. Kocham wojny ofisowo-systemowe.
    Ktoś pisze jest dziura w MSO, to fanboy MS bedzie atakował LO/OOo/ AOO, że tamte nie lepsze. Pojawi się news – jest 0day na Windowsa, kolejny palant w komentarzach wypisze “A, co Gnu/Linux lepszy? Na niego nie ma wirusów, bo go nikt nie używa”.
    Coś jest w fanbojach MS, że nie potrafią żyć bez atakowania innych. Ale co?

    • Prawdziwy Leming nie zadaje pytań w stylu: “Dokąd idziemy?”, “Skąd idziemy?”. Prawdziwy Leming idzie za tłumem…
      Jedni próbują czytać, dociekać, analizować, myśleć… Drudzy słuchają speców od Marketingu i Handlu, wierząc na słowo, że dostarczony produkt jest idealny, a nawet jeśli nie jest to lepszego nie ma. I to wystarcza, aby już nie szukać i szerzyć w populacji jedyną słuszną prawdę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: