yuhsheng
2002-09-13, 10:46 PM
微軟Word有瑕疵
經濟日報編譯湯淑君美聯社華盛頓13日電
微軟公司說,旗艦文書處理軟體Word出現安全漏洞,可能讓駭客把隱藏的程式碼植入Word文件檔,進而從電腦或網路竊走檔案。微軟正研究對策,並考慮是否連帶修補較早期版本的安全瑕疵。
駭客利用此安全漏洞發動攻擊時,會先傳出動過手腳的Word文件檔,通常會要求收信人加以修改並回傳,和日常通信沒什麼兩樣。問題是受害者修改文件並回傳時,會把駭客鎖定竊取的電腦檔案也隱藏在該文件檔中,一併傳給駭客。
編寫多本微軟Word與Office軟體使用指南書籍的雷哈德(WoodyLeonhard)說:「這可能讓別人抓取顯然不准取得的資料。」
此安全漏洞最可能遭駭客利用的地點是職場,因為Word是辦公室最常用的文書處理軟體。竊賊可能瞄準的檔案包括:敏感的法律契約、薪冊紀錄或電子郵件,可能從電腦硬碟或電腦網路竊取,視受害者取得檔案的管道而定。
微軟聲明:「這個問題似乎影響微軟Word的所有版本。調查完畢後,本公司會採取行動,提供微軟顧客最佳服務。」
較早期的Word 97版最容易受攻擊。微軟說,若按公司既定政策,Word 97將不予修補,但微軟仍在斟酌這個問題。根據5月間訪問全球1,500位高科技主管的調查報告,約32%的辦公場所仍在使用Word 97。
上個月,行動電話業者商奎爾通訊公司(Qualcomm)職員甘特曼(Alex Gantman)發現Word 97有此安全漏洞,隨即在網路上公告。
如果收到問題文件檔的人用的是最新版的Word 2000或2002,那麼只有在受害人先把該Word文件檔印出來再回傳,才會讓駭客得逞。但雷哈德發現,另一種影響新版Word的類似瑕疵,可能使文件檔在未列印的情況下夾帶檔案傳出,但被竊的檔案在本文中看得到。
微軟說,欲利用這兩種安全瑕疵,駭客必須知道確切的檔名和存放路徑。但許多重要的檔案,例如通訊錄或電子郵件存檔,通常都置於明顯、可預知的位置。
微軟建議使用者在開啟文件檔時,檢查有無隱藏的程式碼。例如在Word 2002版功能選單的「工具選項」中勾選「欄位碼」即可。
【22:11, 2002/09/13】
經濟日報編譯湯淑君美聯社華盛頓13日電
微軟公司說,旗艦文書處理軟體Word出現安全漏洞,可能讓駭客把隱藏的程式碼植入Word文件檔,進而從電腦或網路竊走檔案。微軟正研究對策,並考慮是否連帶修補較早期版本的安全瑕疵。
駭客利用此安全漏洞發動攻擊時,會先傳出動過手腳的Word文件檔,通常會要求收信人加以修改並回傳,和日常通信沒什麼兩樣。問題是受害者修改文件並回傳時,會把駭客鎖定竊取的電腦檔案也隱藏在該文件檔中,一併傳給駭客。
編寫多本微軟Word與Office軟體使用指南書籍的雷哈德(WoodyLeonhard)說:「這可能讓別人抓取顯然不准取得的資料。」
此安全漏洞最可能遭駭客利用的地點是職場,因為Word是辦公室最常用的文書處理軟體。竊賊可能瞄準的檔案包括:敏感的法律契約、薪冊紀錄或電子郵件,可能從電腦硬碟或電腦網路竊取,視受害者取得檔案的管道而定。
微軟聲明:「這個問題似乎影響微軟Word的所有版本。調查完畢後,本公司會採取行動,提供微軟顧客最佳服務。」
較早期的Word 97版最容易受攻擊。微軟說,若按公司既定政策,Word 97將不予修補,但微軟仍在斟酌這個問題。根據5月間訪問全球1,500位高科技主管的調查報告,約32%的辦公場所仍在使用Word 97。
上個月,行動電話業者商奎爾通訊公司(Qualcomm)職員甘特曼(Alex Gantman)發現Word 97有此安全漏洞,隨即在網路上公告。
如果收到問題文件檔的人用的是最新版的Word 2000或2002,那麼只有在受害人先把該Word文件檔印出來再回傳,才會讓駭客得逞。但雷哈德發現,另一種影響新版Word的類似瑕疵,可能使文件檔在未列印的情況下夾帶檔案傳出,但被竊的檔案在本文中看得到。
微軟說,欲利用這兩種安全瑕疵,駭客必須知道確切的檔名和存放路徑。但許多重要的檔案,例如通訊錄或電子郵件存檔,通常都置於明顯、可預知的位置。
微軟建議使用者在開啟文件檔時,檢查有無隱藏的程式碼。例如在Word 2002版功能選單的「工具選項」中勾選「欄位碼」即可。
【22:11, 2002/09/13】