Hoe onveilig is verouderde software?

Hoe onveilig is het? 6.

Alle gekheid op een stokje: dat valt heel lastig te zeggen. Er kan, in theorie, veel misgaan, maar in de praktijk zal het wel meevallen.

Zeker aangezien je het over oude Office- en Photoshop-versies hebt, wat beide programma's/suites zijn die weinig (of geen) contact maken met het internet. Want dat is 99% van de risico van apps en tools die al lang geen ondersteuning meer hebben: dat ze kwetsbaar worden voor aanvallen via het internet.

Er zijn redenen te bedenken waarom je een nieuwere Office of Photoshop zou willen kopen, zoals nieuwere features die jouw versies niet hebben. Maar bij deze programma's zou 'veiligheid' heel laag op mijn lijstje staan van redenen om te upgraden.

Bij office kan uitwisselbaarheid een rol spelen je kan geen nieuwe office bestanden lezen maar dat hoeft niet erg te zijn (kan ook online) Photoshop is vooral functionaliteit een erg groot verschil maar als je dat niet gebruikt.

aljooge schreef op donderdag 15 december 2022 @ 18:13:
Kan er eigenlijk veel misgaan om met dit soort oude software door te werken, als je het alleen gebruikt voor jezelf en het openen van een paar bestanden van personen die je kent, of is het toch verstandig om alles weer aan te schaffen?

Beetje laat, maar ter aanvulling:

Het openen van bestanden die niet van jezelf zijn is het grootste risico. Dat risico bestaat vooral uit het openen van bestanden waarin mogelijk een exploit verborgen is. Een kwetsbaarheid die bijvoorbeeld bekend en gepatcht is in recentere software en in niet ondersteunde software kan voorkomen.

Als je bijvoorbeeld bestanden die je van derden krijgt niet opent neemt het risico flink af. Antivirus software kan niet altijd bepaalde exploits detecteren, dus dat geeft geen garanties en je moet er niet op vertrouwen.

Verwijder plugins in Explorer die niet meer worden ondersteund. Het bekijken van een map kan een exploit activeren ook als je een bestand niet opent. Microsoft laat Explorer bijvoorbeeld Office bestanden scannen. Dat moet worden voorkomen.

De standaard maatregelen zoals het uitschakelen van macro's zijn nog meer van belang.

Zit je in een risicogroep (overheid, bedrijven met strategisch belang) dan moet je dit niet doen. Ben je een gewone thuisgebruiker dan is het risico beperkt mits je alle genoemde maatregelen neemt.

Remote access krijgen tot je PC: https://www.cvedetails.co...icrosoft-Office-2007.html
--
Edit:

Christoxz schreef op maandag 2 januari 2023 @ 10:13:
[...]
De laatste update voor Office 2007 komt gewoon uit 2018, de EOL datum was al in 2017.

D'oh, mijn geheugen had het mis

Maakt het allemaal niet veilig ineens

--

Schakel inderdaad macro's helemaal uit in de Office-instellingen. Voor elk van de applicaties.

Als je in Office ook Outlook gebruikt heb je in ieder geval een probleem omdat die per definitie data krijgt van buiten. Gebruik die zeker niet. Bijv. Thunderbird is een prima en gratis alternatief.

Of beter: als het om het geld gaat, stap permanent over op het gratis LibreOffice, of als liever de MS versie alleen de gratis online https://www.office.com/launch/word

mrmrmr schreef op maandag 2 januari 2023 @ 00:17:
Zit je in een risicogroep (overheid, bedrijven met strategisch belang) dan moet je dit niet doen. Ben je een gewone thuisgebruiker dan is het risico beperkt mits je alle genoemde maatregelen neemt.

Er is dan ook genoeg wetgeving om in die eerste gevallen updates verplicht te laten zijn. En terecht.

[ Voor 12% gewijzigd door F_J_K op 02-01-2023 10:18 ]

F_J_K schreef op maandag 2 januari 2023 @ 10:04:
Remote access krijgen tot je PC: https://www.cvedetails.co...icrosoft-Office-2007.html

De meeste daarvan (of zelfs allemaal) zijn dan ook gewoon gefixt. De laatste (/nieuwst) in dat lijstje is tevens pas gepubliceerd, nadat de fix is gereleased.
https://msrc.microsoft.co...lnerability/CVE-2018-0862

De laatste update voor Office 2007 komt gewoon uit 2018, de EOL datum was al in 2017.

Maakt het allemaal niet veilig ineens, maar een CVE lijst zegt niks.

Er zit denk ik nog een groot verschil tussen zakelijk en prive gebruik.

Prive zijn in het ergste geval je foto's van je pc verwijderd, worden mailadressen van vrienden buitgemaakt en zouden ze toegang tot andere online accounts van jou kunnen krijgen. Dit alles is erg vervelend maar vaak voornamelijk voor jou.

Zakelijk wordt het een ander verhaal. Hier zul je klanten op de hoogte moeten brengen van een datalek als het fout gaat met reputatie schade of zelfs een claim als gevolg. Geen verzekering zal iets dekken als je bewust oude software gebruikt. Bij dataverlies kun je weken tot maanden werk kwijt zijn, je archief kwijt zijn, etc.

MrNOnamE schreef op maandag 2 januari 2023 @ 10:23:
Prive zijn in het ergste geval je foto's van je pc verwijderd, worden mailadressen van vrienden buitgemaakt

Juist dit zou voor mij een reden zijn om het niet te doen. Als een vriend zijn/haar/hun mailadres of contactinformatie aan mij geeft, is het niet mijn plek om deze te delen of bloot te stellen aan risico.

Ik besef mij gelijktijdig dat ik een van de weinigen ben met deze attitude, gezien zoveel mensen willekeurige mobiele apps toegang geven tot het adresboek, zonder er ook maar een seconde over na te denken

Met Exploit Protection (het vroegere EMET) ingeschakeld maak je het voor aanvallers nog moeilijker. Dit blokkeert de meeste memory corruption vulnerabilities welke nog wel eens opduiken in fileparsers. Let op, het beschermt dus niet tegen andere vulnerabilities/aanvallen zoals bv een kwaadaardige macro of dll hijacking.

Wel even testen of de applicatie goed werkt met alles ingeschakeld. (kan op computer of applicatie niveau ingesteld worden)

Win 10/11 Security Dashboard -> App Browser Control -> Exploit Protection

jurroen schreef op woensdag 4 januari 2023 @ 01:11:
[...]


Juist dit zou voor mij een reden zijn om het niet te doen. Als een vriend zijn/haar/hun mailadres of contactinformatie aan mij geeft, is het niet mijn plek om deze te delen of bloot te stellen aan risico.

In IT security is risico vaak een afweging van de kans op een beveiligingslek én de schade die de lek veroorzaakt. Is een van beide klein, dan is het risico doorgaans ook klein. De kans op lekken kan worden verlaagd met effectieve maatregelen.

Er worden veel accounts online gelekt. Afhankelijk van wat je doet online, kan de kans dat je gegevens gelekt zijn groter zijn dan de kans dat dat niet is gebeurd. https://haveibeenpwned.com/ is een website die aangeeft dat ze 12 miljard gelekte accounts tellen.