Endlich: Microsoft gesteht ein, dass MS Office-Dokumente unsicher sind

Schon in den 90ern galt Microsoft Word als eine der größten Virenschleudern am Markt. So waren etwa 1999 9 Makro-Viren in den Sophos Top 10 Virus Charts (erkennbar am „WM” im Namen). Und heute? Null, nada, zip. Grund: Die Makro-Sicherheitsfunktionen in Office und die guten Virenscanner. Nur MessageLabs hat dazu eine aktuelle Meldung:

Microsoft Word hat sich den ersten Platz als meist verbreitetes Übertragungsmittel für gefährlichen Code zurückerobert. Am häufigsten wurden dabei Word-Dokumente mit dem SmartTag Exploit CVE-2006-2492 versandt.

Gut, MessageLabs lebt ja von der Furcht vor Angriffen und verdient gutes Geld damit. Aber nun bestätigt auch Microsoft selbst, dass vor allem die „alten” Office-Versionen mit ihren binären Dateiformaten ein potentielles Sicherheitsproblem darstellen. Vorbei dürften also die Zeiten sein, als der Softwarekonzern aus Redmond seine binären, proprietären Formate als die allein seligmachende Lösung gesehen haben. Die Frage ist nur, woher dieser plötzliche Sinneswandel bei Microsoft kommt, wenn die Bedrohung durch „Office-Viren” eingentlich kaum messbar ist.

In dem Microsoft Security Advisory 937696 schriebt der US-Softwarehersteller (Emphasis mine.):
Today we are announcing the availability of the Microsoft Office Isolated Conversion Environment (MOICE) feature and more widely notifying customers of the File Block functionality for Microsoft Office 2003 and the 2007 Microsoft Office system. Both features are designed to make it easier for customers to protect themselves from Office files that may contain malicious software, such as unsolicited Office files received from unknown or known sources.

In summary, MOICE provides a mechanism for customers to pre-process potentially unsafe Office 2003 binary documents, by virtue of the conversions process it provides customers with a greater degree of certainty that the document can be considered safe.

Irgendwie liest sich das ganze Dokument so in der Art wie „Hey, wir sind gerade draufgekommen, dass alles was wir in den letzten 10+ Jahren in Sachen Dateiformat gemachthaben, unsicher war”. Ob das die Message ist, die Microsoft vermitteln wollte? Und die Mac-Office User müssen weiterhin mit den unsicheren Binärfiles arbeiten? Und natürlich will Microsoft mit derartigen „Horror”-Meldungen die Leute in keinster Weise dahingehend animieren, auf die neuesten Versionen von Microsoft Office zu migrieren. ;)

Und das Announcement hat auch sicherlich nichts damit zu tun, dass die Anzahl der ODF-Dokumente im Netz deutlich größer ist, als jener im Microsoft-XML Format. Neeein. Natürlich nicht. Nie! ;)

Die offen gestellte Frage an Microsoft lautet also: Es gibt derzeit keinen sicherheitsrelevanten Argumente, wegen derer man seine Dokumente vom alten, proprietären binären Format auf das neue, proprietäre XMl-Format umstellen sollte. Liebe Microsoft, was ist der wirkliche Grund? Warum soll ich auf ein neues Format wechseln, dass von einem Großteil der Firmen, mit denen ich kommuniziere, nicht lesen können? Da kann ich doch gleich auf OpenOffice wechseln und mir die Schulungskosten für Office 2007 sparen.

Und ich sehe hier ein potentielles Imageproblem für Microsoft. Ein Update/Hinweis auf ein Produkt, das primär dazu dient, den Kunden weiterhin an die eigene Plattform zu binden, als Sicherheitsupdate/Ankündigung zu publizieren ist „frech”. IMHO noch frecher, als das IE 7 Update als „Sicherheitsupdate” zu deklarieren, obwohl Security-Fixes auch für den IE 6 nch länger zu Verfügung stellen. Wenn Microsoft öfter derartige Produkte „sicherheitsrelevant” deklariert, wird der Moloch aus Redmond noch das letzte bißchen Glaubwürdigkeit, das er bei den Windows-Admins noch hat, verlieren.

Tagged as: , , , , | Author:
[Freitag, 20070525, 22:20 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, EU, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, Lotus, lotus, Lotus Notes, lotus notes, LotusNotes, lotusnotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist