29 augustus 2013 11:20

Office 2003 binnenkort vogelvrij: wat nu?

Niet alleen de ondersteuning van Windows XP loopt in 2014 af; ook het bijzonder populaire Office 2003 zal niet actief meer worden beveiligd. En dat brengt aanzienlijke gevaren met zich mee.

De verontwaardiging over het aflopen van de ondersteuning voor Windows XP eist voorlopig alle aandacht op, maar ook Office 2003 zal tijdens de Patch Tuesday van 8 april 2014 zijn laatste veiligheidsupdates ontvangen.

En dat is bijzonder slecht nieuws voor veel consumenten. Office 2003 is immers nog altijd bijzonder populair bij Windows-gebruikers en zij zijn de enigen niet. De kantoorsuite is een favoriet doelwit voor cybercriminelen om systemen te kunnen besmetten.

Ter illustratie: in de afgelopen twaalf maanden heeft Microsoft liefst 10 veiligheidsbulletins uitgebracht om lekken te dichten voor Office 2003 Service Pack 3. De helft van die patches kreeg het etiket ‘kritiek’, ofwel een ernstig lek.

[related_article id=”161452″]

We moeten daar aan toevoegen dat ook de vijf minder kritieke lekken kunnen leidden tot besmettingsgevaar via remote code execution. Aanvallers kunnen via malwarecode in valse Office-bestanden toegang krijgen tot je systeem, wat al jaren een klassiek probleem is voor Office 2003.

De classificering is eigenlijk alleen lager omdat Microsoft bepaald gedrag heeft ingebouwd in zijn kantoorpakketten dat waarschuwt voor het gevaar van dergelijke valse bestanden.

Office betert zijn leven

Toen Bill Gates in 2002 besloot in zijn beroemde Trustworthy Computing-memo om het beveiligingsbeleid van Microsoft radicaal om te gooien, is er heel wat veranderd voor Office.

De meeste mensen zullen zich Office 2007 vooral herinneren vanwege de introductie van het ‘functielint’, maar de softwaremaker introduceerde tegelijk nieuwe, veiligere documentformaten.

Oude formaten, zoals .doc, .xls en .ppt, waren gebaseerd op de onnodig ingewikkelde formattering OLE Structured Storage (OSS). Dit gaf malwareschrijvers meer dan voldoende gelegenheid om gaten te vinden die ze konden misbruiken.

De nieuwe documentformaten, herkenbaar aan de letter X op het einde, waren gevat in een ZIP-bestand dat XML-code bevatte.

Docx en consorten leverden de nodige praktische problemen op voor veel gebruikers, al zorgde Microsoft er wel voor dat nieuwe Office-versies via een sandboxmethode de oude formaten nog steeds konden openen.

Heel wat mensen zagen er destijds niets in om over te stappen naar Office 2007. Zij bleven liever bij het vertrouwde Office 2003, zodat ze niet hoefden te worstelen met een nieuwe interface en documentformaten. Net als bij Windows Vista sloegen zij de nieuwbakken Office het liefst over en zijn nog altijd niet van gedachten veranderd.

Vertrouwd is niet (meer) veilig

Office 2003 is dus al tien jaar lang een blijvertje. We verwachten daarom dat de dag na het uitkomen van de allerlaatste patches voor het kantoorpakket een hele lading nieuwe kwetsbaarheden zal opduiken.

Vanaf dan wordt de waarde van dat soort achterdeurtjes op de criminele markt een stuk groter, omdat er geen loodgieter meer in de buurt is om lekken te repareren.

Maar wat moet je nu doen als de ondersteuning van Office 2003 volgend jaar april afloopt? We weten niet waar je voorkeur ligt, maar het is zeker dat je kantoorpakket vanaf dat moment in een schiettent verandert.

Uiteraard is Office 365 een goede optie, omdat het beter is toegerust op moderne technologie als cloudsynchronisatie en tabletondersteuning. Office is bovendien in de afgelopen tien jaar flink verbeterd en heeft een betere reputatie op het gebied van beveiliging.

Die overstap is verre van verplicht; onlangs stelden we een overzicht samen van tien Office-alternatieven, zowel voor de desktop als voor de cloud. Je hebt zo nog ruim de tijd om Office 2003 vaarwel te zeggen.