Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 4735 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

suspicious behavior buffer overflow - legitimate software

FrankBarmentlo
Hey all,

I noticed, that whenever I start either MS Word, MS Excel, MS Powerpoint, MS Outlook and Internet Explorer, it get's terminated because of a "suspicious behavior buffer overflow".
It does this on Windows 7 with IE 9, Windows 8 & 8.1 with IE 11,
all systems run office 2010, with all updates installed.

I tried to make an exception for IE9, but that didn't work(see screenshot I attached, file has been uploaded but disappeared somehow).

I figured I can make an exception per client, but there's the function to do it at the UTM, which I want to use. Can anyone point me in the right direction?
second question: how can I check if the exceptions are pushed to the clients?

Kind regards,
Frank


This thread was automatically locked due to age.
  • 0
    Was there a resolution to this problem?  I have to keep rescuing my Office products from quarantine and I can't use IE at all most of the time.  It just hangs on start up and Windows eventually kills it as "Unresponsive".  It will be this way for a few days and then I will get a quarantine message at which time I can rescue it and it works for a day.  [:@]
  • 0
    Hi, and welcome to the User BB!

    Not much to go on.  What clues do you get from #1 in Rulz?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I don't believe this to be a UTM issue.   I get the same suspicious behavior warnings on a computer with Office 2010/13 on my Enterprise Console at work.   I haven't pursued the issue yet.
  • 0
    Do you have Microsoft EMET enabled? This will interfere with endpoint protection.
Unfiltered HTML