LUISTER NU
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Met Doug Aamoth en Paul Ducklin.
Intro en outro muziek door Edith Mudge.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. WordPress-plug-ins, cryptocriminaliteit en Microsoft-webveiligheid.
Dat alles meer op de Naked Security Podcast.
[MUZIEK MODEM]
Welkom bij de podcast, allemaal.
Ik ben Doug; hij is Paulus.
En, Paul, we hebben een spannende reeks verhalen die we vandaag zullen zien.
Maar eerst beginnen we de show graag met een Leuk weetje.
Voor degenen onder u die schaken... iedereen die wel eens heeft geschaakt, weet dat de koningin het krachtigste stuk op het bord is.
Het was echter niet altijd zo.
Nee: aanvankelijk kon de koningin maar één veld diagonaal bewegen; ze werd vervolgens opgewaardeerd naar twee.
Aan het einde van de 1400e eeuw leidde de Spaanse koningin Isabella echter een onwaarschijnlijke overwinning van achteren bij het beleg van Baza.
En vanaf dat moment werd de koningin het sterkste stuk in het schaken.
Wat vind je daarvan*?
EEND. Jongen, dus als er ooit een Pionenopstand is... zullen de pionnen waarschijnlijk in cirkels kunnen bewegen, misschien...
DOUG. [LACH]
EEND. …of zich terugtrekken als dat nodig is?
DOUG. Nou, dat zou wat zijn!
We zullen later in de show een beetje over schaken praten ... en niet te veel voorafschaduwing, dit heeft een link naar onze Deze week in de technische geschiedenis segment.
EEND. Gaat het om Alan Turing?
DOUG. Het bevat zijn invloeden een beetje, maar nee.
EEND. OK.
Verder en verder, Doug...
DOUG. Het omgekeerde van opwaarts: een neerwaarts gevoel in de Elementor WordPress-plug-in.
Dit is een populaire toolkit voor het maken van websites die veel mensen gebruiken om hun WordPress-sites te slepen en neer te zetten in het perfecte harmonieuze ontwerp...
... en er is iets ergs gebeurd.
Een les in gegevensvalidatie, waar we het over hebben gehad - het lijkt al vele, vele malen eerder.
Maar Paul, wat is hier gebeurd?
EEND. Welnu, het waren niet de Elementor-tools zelf die de bug hadden; het is een plug-in die in wezen uw standaard WordPress-installatie koppelt aan de Elementor-toolkit.
Het heet, fantasierijk, Essentiële add-ons voor Elementor.
Zoals je al zei, het idee is dat dit een hele reeks sjablonen en vooraf gebouwde dingen is die het je gemakkelijk maken om funky dingen te slepen en neer te zetten, zoals: "Hé, ik wil een tijdlijn."
Dus in plaats van heel veel JavaScript te schrijven, zeg je gewoon: "Maak een tijdlijn van mijn berichten", en wanneer je die pagina bezoekt, zal het op magische wijze al het werk voor je doen.
Ook: afbeeldingengalerijen; mooie formulieren voor e-commercesites... dus u begrijpt waarom dit erg populair is voor mensen die een mooie site willen, maar geen zeven weken willen besteden aan het hacken van JavaScript.
En deze Essential Addons for Elementor-plug-in?
Helaas had het een invoervalidatieprobleem waarbij je invoer kon geven in een URL die het vertrouwde, hoewel dat niet zou moeten.
Het bouwde een bestandsnaam uit enkele gegevens die je had verzonden, en het controleerde niet of je niet de traditionele grappige karakters in die bestandsnaam had gezet: ../../../../ enzovoorts…
...die je omhoog-omhoog-omhoog, en dan over, en dan omlaag-omlaag-omlaag-omlaag brengt, waardoor je mogelijk een onschuldig ogend webverzoek aan iemands site kunt doen en een bestand kunt ophalen dat niets te maken heeft met de website zelf.
Bijvoorbeeld: de gebruikersnaamdatabase (de /etc/passwd bestand op Linux), of de bestanden van iemand anders in de WordPress-setup.
Dus misschien heb je een andere gebruiker, of een tweede klant, met bestanden in een directorynaam die je zou kunnen raden, en misschien kun je gewoon naar hun deel van de site springen en hun gegevens of gegevens over hun klanten ophalen.
En omdat dit onderdeel was van een normale verbinding door een gebruiker, in plaats van dat iemand daadwerkelijk inlogde, betekende dit dat in wezen iedereen het kon doen.
DOUG. Dit is moeilijk, omdat deze WordPress-plug-ins - er zijn er veel ...
EEND. duizenden. Tienduizenden.
DOUG. ... en ze worden over het algemeen vertrouwd.
Als je nog nooit met WordPress hebt gewerkt, voordat je een van deze plug-ins installeert, is er een kleine pagina met recensies en het aantal downloads.
Dus zoiets als dit heeft een groot aantal downloads en vier of vijf sterren – je kunt de opmerkingen erover ook zien: je vertrouwt deze over het algemeen wanneer je ze installeert.
En het zou heel moeilijk zijn om te weten om zoiets als dit te zoeken wanneer je een van deze plug-ins installeert.
Dit heeft misschien veel mensen verrast.
EEND. Ik denk dat dat het probleem is, niet?
Dat de gebruikersrecensies geen penetratietests zijn...
DOUG. [LACHT] Ja.
EEND. of codebeoordelingen, of veiligheidstoezicht.
Het zijn gewoon mensen die zeggen: “Kijk, ik heb dit geprobeerd: het werkte heel goed; het heeft een prachtige website opgezet; Ik heb er geen problemen mee gehad.”
En wat ze bedoelen is: 'Nou, nog niemand heeft een beveiligingslek gevonden. Of als ze dat wel hebben gedaan, hebben ze het niet tegen mijn site gebruikt. Of ze hebben het tegen mijn site gebruikt, maar ik heb het nog niet eens gemerkt.”
DOUG. Heel goed - als je de Essential Addons for Elementor-plug-in gebruikt, zorg er dan voor dat je 5.0.6 gebruikt.
En voor webontwikkelaars hebben we dit keer op keer gezegd... wat moeten ze doen, Paul?
EEND. [CLERISCHE STEM]. Valideer uw invoer.
DOUG. Please!
EEND. De ironie hier was dat toen deze bug werd gemeld aan de makers van de plug-in, ze snel een patch produceerden.
Maar dat sloot niet helemaal alle manieren af waarop je grappige karakters in je webverzoek kon sluipen en dit "rondzwerven door het bestandssysteem" kon laten ontsnappen.
En toen deden ze nog een patch, en *dat* sloot het niet goed af.
Dus ik denk dat de bug is gevonden in 5.0.3; en toen hadden ze al snel 5.0.4; en dan 5.0.5; en vervolgens 5.0.6.
Dat zagen we bij Log4Shell toch?
DOUG. We deden.
EEND. De quick-fix deed het geweldig, maar het werkte niet volledig.
Trouwens, Doug, als dit klinkt als: "Oh, nou, het enige wat je kunt doen is stiekem bestanden lezen die niet toegankelijk zouden moeten zijn", onthoud dan, vooral in PHP-achtige installaties zoals WordPress (maar niet alleen PHP - dit zou het geval kunnen zijn met IIS als je Active Server Pages hebt gedaan met bijvoorbeeld Visual Basic Script) ...
…soms, wanneer u een bestand aan de andere kant leest, als het bestand een bepaalde extensie heeft, zoals .phpof .aspx, of wat het ook is voor de webserver die wordt gebruikt, wat dat de server vertelt is: "Lees dit bestand niet in en retourneer de inhoud van het bestand."
Wat het zegt is: "Lees dit bestand, *voer het uit als een lokaal programma*, neem de uitvoer die het programma maakt en stuur *dat* terug naar de gebruiker."
Het probleem is dus dat wanneer je een bestandsescape zoals deze hebt, waarmee je bestanden kunt lezen die niet echt bedoeld zijn, dit ook vaak kan leiden tot uitvoering van externe code.
Want als je de namen van andere scripts kunt raden (het kunnen de namen zijn die alleen een beheerder zou moeten activeren), en je kunt contact opnemen en deze activeren vanaf een niet-geverifieerde internetverbinding...
… u kunt de server mogelijk gegevens laten verspillen, of u zelfs opdrachten laten uitvoeren die voor u verboden zouden moeten zijn.
Je zou eigenlijk informatie over de hele server kunnen krijgen; over de hele WordPress installatie; of voer zelfs opdrachten uit die de inhoud wijzigen, malware erop plaatsen, enz. enz.
DOUG. Goed, dat is: Elementor WordPress-plug-in heeft een gapend beveiligingslek - update nu op nakedsecurity.sophos.com.
En nu zullen we behendig naar dit "Wormhole crypto trading" -verhaal glippen.
Dit is een hoop geld dat hier van eigenaar verandert, en het is een vreemd verhaal!
EEND. Dit zijn altijd rare verhalen, nietwaar?
DOUG. Ik begon dit artikel te lezen en ik dacht: "Wauw, $ 340,000,000! Dat moet een soort of record zijn...'
En toen dacht ik: "Nee, Poly Networks was bijna het dubbele. Het is niet erg. Net weg."
EEND. En ik merk dat ik terugga naar mijn eigen artikelen, zelfs de dag nadat ik ze heb geschreven, en denk: “O jee, ik heb een vreselijke blunder begaan. Domme Ik. Ik heb per ongeluk een oud verhaal geschreven alsof het nieuw was.”
DOUG. [LACH]
En dan denk je: “Nee, wacht even, dit is heel anders. Dezelfde slechtheid gebeurde."
Ik weet niet of braggadocio of bravado het juiste woord is... dit bedrijf, op zijn website, als je naar hun hoofdpagina gaat, heeft deze grote tekst, "THE BEST OF BLOCKHAINS".
Waardoor ik moest denken aan Charles Dickens, Doug.
DOUG. [LACH]
EEND. Ik kon niets anders bedenken dan A Tale of Two Cities.
[DOET UIT DE ROMAN TE LEZEN]
Het was de beste van alle blockchains, het was de slechtste van alle blockchains, het was het tijdperk van wijsheid, het was het tijdperk van dwaasheid, het was het tijdperk van geloof, het was het tijdperk van ongeloof, het was het seizoen van Licht, het was was het seizoen van de duisternis, het was de lente van hoop, het was de winter van wanhoop, we hadden alles voor ons, we hadden niets voor ons, we gingen allemaal rechtstreeks naar de hemel, we gingen allemaal rechtstreeks naar de andere plaats - kortom, de periode leek zo ver op de huidige periode, dat sommige van de meest luidruchtige autoriteiten erop stonden dat het, ten goede of ten kwade, alleen in de overtreffende trap van vergelijking zou worden ontvangen.
[AFGEWEZEN] $ 340,000,000... vanwege een probleem met de codering van slimme contracten dat blijkbaar niet was voorzien.
En nogmaals, net als de Poly Networks-hack, stuurden ze een Ether-transactie met nulwaarde, waarbij de transactie alleen bestond om een bericht te bevatten:
[OPNIEUW CITAAT]
We hebben gemerkt dat u de Solana VAA-verificatie en munttokens kon gebruiken. Wij bieden u graag een whitehat overeenkomst aan.
Ik meen me te herinneren dat Uber ontzettend veel problemen kreeg om dat achteraf te doen...
DOUG. Inderdaad.
EEND. …maar misschien is het anders als je het bod openbaar maakt?
En we zullen je een bug bounty van $10 miljoen aanbieden voor details over exploits.
Oh, en het geld teruggeven dat je hebt gestolen.
DOUG. Ja! Wauw!
EEND. Blijkbaar werkte het deze keer niet, Doug.
Voor zover ik weet hebben ze niets gehoord.
DOUG. We hebben enkele tips aan het einde van het artikel.
Dit is een geweldige die je al eerder hebt gezegd, maar je hebt het op dit moment uitgebreid: "Als u zich met cryptocurrency bezighoudt, investeer dan nooit meer dan u zich kunt veroorloven te verliezen."
En met "zich veroorloven om te verliezen", bedoel je niet: "Ik heb $ 100 in deze cryptovaluta gestoken; hopelijk verdien ik $ 110 en het zakt niet naar $ 90."
Je bedoelt dat het gestolen kan worden, en het kan *nul* zijn.
EEND. Hier denk ik dat de verwachting is: "Ik zet $ 1,000 in; als het tot de helft daalt, zou dat echt pijn doen, maar het zou me niet berooid achterlaten. En misschien krijg ik een waarschuwing vooraf. Dus ik hou het gewoon in de gaten."
En dan ga je naar de keuken om een kopje koffie te zetten, en je komt terug...
DOUG. [LACH]
EEND. ... en *poef*!
Ze hebben het wiel laten draaien; zwart kwam op; je rode weddenschap is weg - wat je ook inlegt.
Als je weet dat als het op nul uitkomt, het als een gek pijn zal doen * maar het zal je leven niet laten ontsporen *, dan zit je goed.
Als het gaat om cryptocurrency, hoe zei Charles Dickens het?
"Het was het tijdperk van geloof, het was het tijdperk van ongeloof, het was het seizoen van het licht, het was het seizoen van de duisternis," Doug.
Het is moeilijk om te weten hoe goed het voor je zal uitpakken.
DOUG. En nog een advies dat je hier hebt, wat geweldig is met al deze cryptotrading-bedrijven die opduiken: "Zorg ervoor dat je er een zoekt waarmee je je crypto in je eigen offline koude portemonnee kunt houden."
EEND. Ja, wanneer u crypto-tokens ergens plaatst waar ze live kunnen worden verhandeld, moet u die andere persoon vertrouwen met de middelen om uw valuta voor u te verhandelen *per ongeluk of door ontwerp*.
Dat is het idee van een warme portemonnee.
Dus misschien, als je de wateren gaat testen, test ze dan in het begin wat minder agressief, waar je daadwerkelijk de investering kunt doen en het resultaat veilig thuis kunt houden...
(Verlies de coderingssleutel niet! Dat wordt natuurlijk een probleem - dat is hetzelfde als bankbiljetten in brand steken.)
... maar het betekent wel dat je niet alleen de tokens plaatst waar je vertrouwt op iemand anders die geen programmeerblunder maakt.
DOUG. Goed, we zullen het in de gaten houden.
Iets zegt me dat het verhaal misschien nog niet af is, maar dat is: Wormhole crypto-handelsbedrijf geeft $ 340,000,000 om aan criminelen.
En het is tijd voor Deze week in Tech History.
We hadden het eerder in de show over schaken en deze week, in februari 1996, werd IBM's Deep Blue-supercomputer de eerste machine die een menselijke schaakkampioen versloeg.
Garry Kasparov verloor twee wedstrijden van een wedstrijd van zes wedstrijden tegen Deep Blue.
Er zou een rematch nodig zijn, in mei 1997, voordat Deep Blue de wedstrijd regelrecht zou winnen, drie-en-een-halve games tot twee-en-een-halve games. (Ik gok dat een halve wedstrijd gelijkspel is.)
En ik heb een bonus Leuk weetje voor iedereen, Paul: onderzoekers van Carnegie Mellon zeiden in 1957 dat het maar tien jaar zou duren voordat een computer de regerend wereldkampioen schaken van die tijd zou kunnen verslaan.
Het duurde eigenlijk 40 jaar - ze realiseerden zich niet hoe moeilijk het zou zijn om computerschaak te programmeren.
Ik heb ironisch genoeg ook gelezen – het kan de wedstrijd zijn die hij regelrecht verloor of een van de spellen die hij verloor – dat er een fout in de code zat, en de computer maakte een rare zet die Kasparov niet begreep.
Het was een onbegrijpelijke, vreemde zet.
En hij dacht: "Oh, dit is iets briljants waar ik nog niet aan heb gedacht."
En dus raakte hij een beetje in paniek, en dat kostte hem.
EEND. Echt? [LACHT]
DOUG. Dat kwam door een computerfout die iets deed wat een mens niet zou hebben gedaan.
Dus niet alle bugs zijn slecht! Ik denk dat het meer een functie is...
EEND. Het geeft nog steeds geen antwoord op de vraag: 'Kunnen machines denken? !
DOUG. [LACH]
EEND. Daarom dacht ik eerder aan Alan Turing.
DOUG. Ja.
Blijkbaar, lees ik, onderzoekers die aan computerschaak werken, zeggen dat het nog steeds niet is gekraakt; het is nog steeds niet opgelost.
Er zijn nog zoveel permutaties.
Maar een ding dat mensen bij Microsoft proberen op te lossen, is webveiligheid.
We hebben twee verhalen over webveiligheid, dus laten we beginnen met de App Installer een.
EEND. Ze zijn allebei best interessant!
Een daarvan gaat over een recent cybersecurity-incident.
SophosLabs… Ik denk dat we een van de eersten waren die dit onderzochten, omdat een hele reeks mensen bij Sophos, waaronder ikzelf, de e-mail ontvingen in deze specifieke cybercriminele aanval.
En lezers van Naked Security zullen het zich misschien herinneren - dit was een artikel van afgelopen november dat we de titel gaven: E-mailzwendel met klachten van klanten jaagt op uw angst om in de problemen te komen op het werk.
En ik denk dat we het hierover in de podcast hebben gehad, nietwaar?
DOUG. Ja.
EEND. Waar het de "Sophos Main Manager Assistant" was - ik herinner me dat je dat een beetje een grap vond, omdat er niet zo'n functietitel was ...
BEIDE. [GELACH]
EEND. Maar het was: 'Hé, er is een klacht van een klant tegen u. Waarom heb je het ons niet verteld? We hebben een crisisoverleg! Je had het me moeten vertellen! Je kunt dit maar beter lezen... je kunt maar beter kijken wat de klant over je zegt.”
En er is een link, en die gaat naar een PDF-bestand.
Behalve het PDF-bestand... nou, je moet een programma installeren - het is een "Adobe PDF-component".
Maar het is heel anders dan andere traditionele uitvoerbare downloader phishing-zwendel.
Het ging niet alleen maar: "Oh, je hebt deze nieuwe codec nodig: download dit uitvoerbare bestand en voer het uit", want iedereen weet dat dat een vreselijk idee is.
Het gebruikte eigenlijk een systeem dat beschikbaar is voor gebruik op uw eigen webserver, maar dat is waarschijnlijk nauwer verbonden in de hoofden van mensen met hoe het werkt wanneer u naar een meer vertrouwde - of op zijn minst doorgelichte - zoals de Microsoft Store gaat.
in plaats van een https:// link, je krijgt een link die is ms-appinstaller://
En als u op een van die bestanden in Windows klikt, wordt het bestand niet alleen gedownload, maar ook gestart en verwerkt in de App Installer hulpprogramma, dat u een meer geloofwaardige ervaring geeft dan alleen: "Hé, download dit programma en voer het uit."
Ten eerste moet de app digitaal ondertekend zijn.
Behalve dat het alleen de App Bundle is die digitaal is ondertekend, en de naam die voor het programma verschijnt - in het geval dat we hebben onderzocht, stond er alleen "Publisher: Adobe Inc" - komt met "Trusted app", met een klein groen vinkje .
Maar als je op "Trusted App" klikte, was de bedrijfsnaam die naar voren kwam een accountantskantoor in het VK.
Ziet er een beetje raar uit!
Het *was* echter een echt bedrijf, voor zover we konden nagaan; het was een echte digitale handtekening.
Op de een of andere manier hadden de boeven dit begrepen, en alleen door de App Bundle te ondertekenen, konden ze in feite iemand - die anders nogal achterdochtig zou zijn over het downloaden van een installatieprogramma - afleiden naar een proces dat er veel legitiemer uitziet.
Misschien meer legitiem dan alles wat ze ooit eerder hebben gezien als ze nooit de Microsoft Store zouden gebruiken.
Het andere idee van een App Bundles is dat het een soort "ueber-ZIP"-bestand is
Het bevat eigenlijk meer dan je nodig hebt, dus het zal versies hebben voor verschillende smaken van Windows; verschillende chipsets: als je ARM versus Intel hebt, zal het de juiste voor je zijn.
Het voelt dus alsof het besturingssysteem de leiding heeft over het proces: dit is niet alleen "download dit bestand, plak het op je bureaublad en dubbelklik erop".
Microsoft gaf toe dat dit als een kwetsbaarheid werd beschouwd: het kreeg een CVE-nummer en ze gaven enkele oplossingen over hoe je dit kon controleren, zoals mensen opsluiten zodat het proces alleen werkte als je naar de Microsoft Store ging.
Nou, eindelijk hebben ze besloten, gezien het soort misbruik dat dit heeft veroorzaakt door oplichters, gezien het feit dat ze dingen veel betrouwbaarder kunnen laten lijken dan ze in werkelijkheid zijn... ze gaan eigenlijk blokkeren ms-appinstaller:// URL's standaard van willekeurige websites.
Het is dus een functie die Microsoft erg leuk vond, waarvan ze beweren dat deze populair was bij leveranciers - ik begrijp waarom: je bouwt het pakket en als het downloaden plaatsvindt, is de kans groter dat het goed werkt voor de gebruiker.
Kortom, als je dit App Bundle-proces hebt gebruikt voor een voorverpakte app in plaats van alleen een old school-installatieprogramma, moet je misschien je manieren veranderen.
Omdat Microsoft in feite opzettelijk een functie in zijn eigen besturingssysteem heeft verbroken ... voor het algemeen belang.
Hoe zit dat, Doug?
DOUG. Het lijkt gebruiksvriendelijk, hoewel ik zeker weet dat het enige consternatie zal veroorzaken tegen softwareontwikkelaars die App Bundles gebruiken om hun software te distribueren.
EEND. Ja, Microsoft heeft gezegd dat het het principe en het protocol wil behouden, maar een betere manier wil vinden om het te doen.
Zoals we vorige week al zeiden, als je dingen hebt die cyberbeveiliging gemakkelijker maken, maak je het soms *te* gemakkelijk.
En als dat goed was, zouden we allemaal wachtwoorden van twee tekens hebben, Doug.
DOUG. [LACHTEND] Mensen zouden nog steeds hun wachtwoord vergeten!
OK, dat is: Microsoft blokkeert de webinstallatie van zijn eigen App Installer-bestanden.
Dan nog een spannend verhaal over dingen die standaard zijn uitgeschakeld ...
EEND. Ja!
Nadat ik dat verhaal over App Installer had geschreven (ik denk dat ik dat gisteren heb geschreven), toen ik vanmorgen wakker werd, dacht ik: “O, nou, ik vraag me af waar ik vandaag over ga schrijven. Microsoft heeft gisteren de wereld veranderd.”
En ik keek, en: "Mijn god, het is net een bus! Je wacht jaren, en dan komen er twee tegelijk!”…
DOUG. [LACH]
EEND. …dat is de manier van verkeer.
Misschien hebben deze twee dingen met elkaar te maken: iemand [bij Microsoft] heeft besloten om beide wijzigingen tegelijk goed te keuren.
Maar dit is naar mijn mening een veel langer achterstallige standaardwijziging.
En het is dat - als u een Office-document via internet ontvangt, bijvoorbeeld als een e-mailbijlage ontvangt, of het downloadt van internet en het vervolgens opent ...
In plaats van die waarschuwing te krijgen, de gele waarschuwing, die zegt: "Er zijn hier macro's; het kan slecht zijn. Klik hier om slechte dingen te laten gebeuren', en iedereen klikt daar, en de boeven hebben kleine pijltjes die zeggen: 'Ja, je zou op deze knop moeten klikken! Het is echt belangrijk! Dit zal uw veiligheid verbeteren”…
In plaats van dat standaard te hebben, maar een optie die beheerders kunnen instellen, die zegt: "Nee, sta het helemaal niet toe"...
... ze draaien die ronde om.
Tenminste, ze draaien het de komende twaalf maanden standaard om in *sommige* versies van Ofice, op *sommige* besturingssystemen, voor *sommige* apps in de Office-stal.
Dus dit is nog steeds een zeer onvolledige oplossing - maar ik ga er niet omheen.
Kortom, tenzij u uw best doet om uw gebruikers dit op een bedrijfsnetwerk te laten doen, en tenzij u als gebruiker thuis gaat rommelen, dan als u een document van internet haalt en het opent om te zien wat erin zit, krijg je die knop "Inhoud inschakelen" niet.
Je krijgt een rode pop-up... een roze pop-up die zegt: "Security risk. Microsoft heeft de uitvoering van macro's geblokkeerd omdat de bron van het bestand niet wordt vertrouwd. Einde van."
Veel mensen in de cyberbeveiligingsindustrie willen sinds ongeveer anderhalf jaar zoiets in Office... het was tegen het einde van 1995, toen Word-macrovirussen uitkwamen.
Toen hadden we in 1997 de gecombineerde Office-suite, waar de Visual Basic voor toepassingen macrotaal, waar dezelfde code op meerdere besturingssystemen en in meerdere documenttypen werkte, dus je kon zeer vergelijkbare, identieke code gebruiken in Excel, en in PowerPoint, en in documentbestanden.
Sindsdien is er een oproep geweest: "Waarom maak je dit niet gewoon optioneel? Waarom laat je iemand niet een versie van Office hebben waar ze gewoon zeggen: 'Weet je wat? Ik weet dat macro's mooi zijn. Ik weet dat ze superkrachtig zijn. Ik weet dat ik ervoor heb betaald, *maar ik wil zonder hen installeren*.”
Ik wil graag dat de supercharger wordt losgekoppeld, alstublieft. Als ik het echt nodig heb, ga ik naar binnen en laat de monteur het opnieuw monteren, als ik bereid ben 40% meer brandstof te verbranden in ruil voor grotere wielspin.
BEIDE. [GELACH]
DOUG. Dus een stap in de goede richting?
EEND. Absoluut.
Nou, *als* je Office 2022 gebruikt.
Dat zal volgens mij de komende twaalf maanden worden uitgerold, dus deze functie zal pas in april 2022 van start gaan, en alleen de early adopters zullen het in eerste instantie in hun versies van Office krijgen …
…maar ik denk dat het de culturele verandering is die groot is.
DOUG. Goed, dat heet: Eindelijk! Office-macro's van internet worden standaard geblokkeerd.
Als je meer wilt lezen, staat het op nakedsecurity.sophos.com.
En terwijl de zon langzaam ondergaat in onze aflevering deze week, is het tijd voor de Oh! Nee!
Reddit-gebruiker WeldinMike27 schrijft:
“Jaren geleden werkte mijn vrouw bij een lokale tv-zender en hielp ze mensen bij de omschakeling van VHF- naar UHF-signalen.
Bij sommige tv's moest een schakelaar aan de achterkant worden ingedrukt of gewoon iets erachter worden gedaan.
Een heer belde, zeer geagiteerd, en beweerde dat de omschakeling een 'splitsing' in het beeld had veroorzaakt.
Letterlijk was de ene kant van het scherm een andere definitie dan de andere kant.
Mijn vrouw en de lokale technische ondersteuning trokken hun haren uit, in een poging om erachter te komen wat er zou kunnen zijn gebeurd - uiteraard was zoiets nog nooit eerder gebeurd.
Het duurde eeuwen en enkele zeer verhitte discussies voordat de heer eindelijk besefte dat zijn tv onder het stof lag.
En terwijl hij aan de achterkant wat aan het spelen was, had hij de helft van de laag stof van een kant van het scherm gewreven.”
EEND. [LACHT] Oh, schat!
DOUG. Als je je die oude buis-tv's herinnert, waren het net stofmagneten!
EEND. Omdat het allemaal elektronen zijn die rondvliegen, nietwaar?
Dus het wordt opgeladen.
UHF... dat is een heel eind terug, Doug!
DOUG. Dat waren de dagen.
Nou, dat waren ze niet, maar het waren dagen. [LACHT]
Als u een Oh! Nee! je wilt indienen, lezen we het graag in de podcast.
U kunt tips@sophos.com e-mailen; je kunt reageren op een van onze artikelen; of bel ons op social @NakedSecurity.
Dat is onze show voor vandaag – heel erg bedankt voor het luisteren!
Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...
BEIDE. ... blijf veilig!
[MUZIEK MODEM]
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Source: https://nakedsecurity.sophos.com/2022/02/10/s3-ep69-wordpress-woes-wormhole-holes-and-a-microsoft-change-of-heart-podcast-transcript/
