【TechTarget中国原创】微软公司的Bill Sisk解释了Excel的许多漏洞需要修补的原因,以减少受到危险的“网络钓鱼”攻击的风险。
三月份,微软一共发布了四个安全公告,其等级全部都定级为严重。在本月专栏中,我将主要关注所发布四个安全公告中的两个,以期有助于你进行风险评估和部署策略。首先,我会提到与Microsoft Office Web Components 2000, MS08-017相关的信息。其次,我将回顾MS08-014中的Microsoft Excel漏洞。
这一公告提到了Microsoft Office Web Components 2000中的两个漏洞。Microsoft Office Web Components 2000可通过ActiveX控件在网上使用微软办公文件。特别的是,用户可以浏览和/或者编辑Microsoft Excel文件,创建数据透视表格视图,以及创建报告。同时也有一个控件可以从Microsoft Excel文件连接的后端数据源中读取数据。例如,一个销售和市场团队可以在一个中央的网站位置创建历史数据,让用户进行实时数据分析。
需要注意的是,Microsoft Office Web Components 2000中的两个漏洞被定级为“严重”等级,当用户浏览这些带有漏洞控件的网页时,攻击者可以通过其特制的网页,执行恶意代码。如果没有在Microsoft Office Web Components 2000 Library取消注册,Microsoft Office Web Components 2000就不能在你的运行环境中启用。在变通解决方案部分的通报中有关于执行这项任务的详细说明。有很多产品都包括这些控件,因此请仔细阅读该通报,查询详细信息。微软安全基准分析器2.0.1 (MBSA)并没有检测到这个特殊通报中提及的大多数受到影响的产品。然而,微软已经与Shavlik技术公司合作,为遗留系统的安全更新检测提供支持。更多信息请查看MBSA主页。
这个公告指出了Microsoft Excel中的几个漏洞。Microsoft Office Excel 2000 Service Pack 3的所有漏洞都被定级为“关键”。其他受到影响的产品版本被评为“重要”等级。所有漏洞都在微软的安全通报947563中指出。该通报是在一月中旬发布的。
通报中的多数漏洞可以通过攻击者发送一个特制的Microsoft Excel文件进行攻击。当用户打开文件,恶意代码就会在用户的系统中执行。攻击者可能使用社会工程学的方法来引诱用户打开恶意文件。“网络钓鱼”尤其是一种麻烦的社会工程学类型,一定要警惕这种漏洞。某公司的用户可能会收到一封内容紧急的电子邮件,令读者会毫不思索立即回复。事实上,这封邮件可能看上去和读起来和一般公司的电子邮件很相似,比如,公司内部某知名人物发出的更新通知。考虑到这样类型的威胁,尽快部署安全更新是非常重要的。不可否认的是,“尽快”可能需要几天,或几周时间,因为在部署之前,可能需要对更新进行测试。如果碰到这种情况,可以考虑先采用其他的变通解决方法,直到能够安装安全更新。
Office文件可用的一种变通解决方法是叫做Microsoft Office Isolated Conversion Environment(MOICE)的工具。这种环境可以通过在隔离的环境中打开文档,而减少攻击影响。基本而言,MOICE将二进制格式文件转换成为较新的Office Open XML格式。此外,转换过程在一个限制非常严格的方式下进行,从而保护系统正常运行,以防在文件转换过程中试图执行恶意代码。如果MOICE没有转换文件或者转换器崩溃,你就知道可能文件存在问题。在以上任何一种情况下,MOICE就在履行其职责——阻止恶意代码在系统中运行。MOICE是一种权宜之计,因此,我建议您只要可能,就安装安全更新。关于MOICE及其使用方法的详细资料,请查阅微软安全通报937696。
结论
三月份一共发布了四个公告,均影响到了Microsoft Office。我对这四个公告中的MS08-017做了简要的回顾,它是Microsoft Office Web Components 2000存在的漏洞,可以作为ActiveX 控件使用。作为风险的缓解,或者如果不使用的话,可以不启动Microsoft Office Web Components 2000。对于遗留系统的安全更新检测,用户可以选择使用Shavlik技术公司的产品。
MS08-014提到微软Excel中的几个漏洞,其中包括微软安全通报947563中指出的漏洞。在部署安全更新之前,Microsoft Office Isolated Conversion Environment(MOICE)可以作为一种权宜之计。
一如以往,首先在非生产的机器上测试安全更新,这样会帮助你确定在安全更新过程中可能出现的问题。关于测试和使用的全面指导,请参阅Update Management Process
我建议你花一些时间,注册我们每月的定期安全公告网络广播,于太平洋标准时间三月12号周三上午11点举行。
安全项目总经理Adrian Stone与我(安全反应通讯经理)将审阅每个公告通报的信息,以进一步帮助您的规划和部署。在紧接下来的审阅过程中,我们通过专家小组提供的信息来回答您的问题。如果您不能参加直播的网络广播,也可以事后下载观看。
请您花一些时间,在日历上标注一下2008年4月的每月安全公告。下个月的公告发布时间定于4月8日星期二。提前通知定于4月3日星期四。发布当天查看四月份TT安全网站的该专栏信息,将有助于您对最新安全公告的规划和部署。