Lek in document encryptie Microsoft Word en Excel
Een security onderzoeker heeft een lek in de document encryptie van Microsoft's Word en Excel ontdekt. Het probleem is de manier waarop Microsoft het 128-bit RC4 encryptie algoritme implementeert als een document na het aanmaken opnieuw bewaard wordt. In deze situatie gebruikt het programma dezelfde wachtwoord sleutel en "initialisatie vectoren" om verschillende versies van hetzelfde document te encrypten. Wordt er het zelfde wachtwoord gebruikt, dan zouden normaal de initialisatie vectoren anders moeten zijn. Het lek zou in alle versies van Office aanwezig zijn en stelt een aanvaller in staat om ge-encrypte bestanden te kraken. Een gedetailleerde uitleg van het lek is in dit document (PDF) te vinden. (TechWorld) Bron: security.nl Zie ook: tweakers.net
UPDATE security.nl
Microsoft: Encryptie lek in Word helemaal niet ernstig
Gisteren verscheen de waarschuwing van een security onderzoeker die een "zeer kritiek lek" had ontdekt in de manier waarop encryptie in Microsoft's Word en Excel wordt toegepast. Volgens Microsoft vormt het lek bijna geen bedreiging voor haar klanten. "In sommige gevallen kan een aanvaller de inhoud van een ge-encrypt bestand lezen, als hij tot meerdere versies van het bestand toegang heeft." Om toegang te krijgen moet de aanvaller toegang hebben tot twee aparte bestanden met dezelfde naam die door hetzelfde wachtwoord beschermd worden. Microsoft raadt gebruikers die een ge-encrypt document wijzigen aan om het document met een ander wachtwoord op te slaan. (eWeek)
UPDATE security.nl
"Encryptie lek in Word en Excel is amateuristische fout"
Het encryptie lek in Office en Excel blijft de gemoederen bezighouden. Het lek werd vorige week door onderzoeker Hongjun Wu bekend gemaakt en zou een aanvaller in staat stellen om het wachtwoord van een versleuteld document te achterhalen. Een ernstig lek aldus Wu. Microsoft liet echter weten dat het voor gebruikers van Office allemaal wel meeviel en dat men het beste een ander wachtwoord kan gebruiken als men wijzigingen heeft aangebracht. Volgens security expert Bruce Schneier betreft het hier een amateuristische crypto fout, die erg veel lijkt op een probleem dat zich vijf jaar geleden met Windows NT voordeed. Ook Phil Zimmermann, de bedenker van BGP, was niet blij met de reactie van Microsoft en is van mening dat het hier wel degelijk om een serieus lek gaat. Microsoft is inmiddels begonnen met een onderzoek van het lek en afhankelijk van de uitkomst van het onderzoek zal bepaald worden of er een patch wordt uitgegeven. Gebruikers die een alternatieve encryptie oplossing zoeken kunnen op deze pagina kijken. (Neowin)
Een security onderzoeker heeft een lek in de document encryptie van Microsoft's Word en Excel ontdekt. Het probleem is de manier waarop Microsoft het 128-bit RC4 encryptie algoritme implementeert als een document na het aanmaken opnieuw bewaard wordt. In deze situatie gebruikt het programma dezelfde wachtwoord sleutel en "initialisatie vectoren" om verschillende versies van hetzelfde document te encrypten. Wordt er het zelfde wachtwoord gebruikt, dan zouden normaal de initialisatie vectoren anders moeten zijn. Het lek zou in alle versies van Office aanwezig zijn en stelt een aanvaller in staat om ge-encrypte bestanden te kraken. Een gedetailleerde uitleg van het lek is in dit document (PDF) te vinden. (TechWorld) Bron: security.nl Zie ook: tweakers.net
UPDATE security.nl
Microsoft: Encryptie lek in Word helemaal niet ernstig
Gisteren verscheen de waarschuwing van een security onderzoeker die een "zeer kritiek lek" had ontdekt in de manier waarop encryptie in Microsoft's Word en Excel wordt toegepast. Volgens Microsoft vormt het lek bijna geen bedreiging voor haar klanten. "In sommige gevallen kan een aanvaller de inhoud van een ge-encrypt bestand lezen, als hij tot meerdere versies van het bestand toegang heeft." Om toegang te krijgen moet de aanvaller toegang hebben tot twee aparte bestanden met dezelfde naam die door hetzelfde wachtwoord beschermd worden. Microsoft raadt gebruikers die een ge-encrypt document wijzigen aan om het document met een ander wachtwoord op te slaan. (eWeek)
UPDATE security.nl
"Encryptie lek in Word en Excel is amateuristische fout"
Het encryptie lek in Office en Excel blijft de gemoederen bezighouden. Het lek werd vorige week door onderzoeker Hongjun Wu bekend gemaakt en zou een aanvaller in staat stellen om het wachtwoord van een versleuteld document te achterhalen. Een ernstig lek aldus Wu. Microsoft liet echter weten dat het voor gebruikers van Office allemaal wel meeviel en dat men het beste een ander wachtwoord kan gebruiken als men wijzigingen heeft aangebracht. Volgens security expert Bruce Schneier betreft het hier een amateuristische crypto fout, die erg veel lijkt op een probleem dat zich vijf jaar geleden met Windows NT voordeed. Ook Phil Zimmermann, de bedenker van BGP, was niet blij met de reactie van Microsoft en is van mening dat het hier wel degelijk om een serieus lek gaat. Microsoft is inmiddels begonnen met een onderzoek van het lek en afhankelijk van de uitkomst van het onderzoek zal bepaald worden of er een patch wordt uitgegeven. Gebruikers die een alternatieve encryptie oplossing zoeken kunnen op deze pagina kijken. (Neowin)
Laatst bewerkt:
