微软在本周发出安全报告,警告使用者要小心Excel漏洞,该漏洞可能让黑客取得用户权力,进而自远程在用户系统中执行任意程序。
该漏洞影响Office Excel 2003 SP2、Excel Viewer 2003、Excel 2002、Excel 2000及Excel 2004 for Mac。不过,Excel 2003 SP3以及最新的Excel 2007与2008 for Mac并未受到该漏洞影响。
微软并未说明该漏洞的细节,仅表示黑客可能采取两种方式传递恶意的Excel档案。一是透过电子邮件夹带恶意Excel档案,二是在网站上嵌入恶意档案,因此,建议用户不要在电子邮件中随意开启不信任的档案或是连上不信任的网站下载Excel檔。
由于该漏洞可能导致黑客取得用户权力,所以若使用者缩小权限将会降低被骇所带来的影响。
微软表示,目前该公司仅发现针对该漏洞少数的目标式攻击,而且该漏洞尚未被广泛地公开揭露,因此相信该漏洞所带来的影响有限。此外,微软也正在修补该漏洞,计划会在每月例行性的更新中提供修补程序,若有必要则会提前修补。
SANS网络风暴中心Maarten Van Horenbeeck则分析,所谓的目标式攻击,指出Office应用程序最容易成为黑客的目标,通常目标式攻击的目的在于攻击对象可带来经济利益的信息,一旦这些信息对黑客而言是有价值的,黑客便会透过各种方式取得,包括采用新兴的、尚未经过测试的技术。由于采用新技术的攻击较容易失败而被发现,Maarten Van Horenbeeck鼓励这些取得攻击失败信息的用户能够进行分享,以让大家更了解黑客最新的攻击技术与趋势