Excel现新漏洞　警惕电子邮件里的附件

　　微软公司于周二发出警告，称黑客们找到了存在于众多版本的Excel中的漏洞。如果打开了一个恶意Excel文件，会损害使用者的机器并使黑客能够远程执行代码。
　
　　微软公司称目前该损失的风险还是优先的，因为恶意代码还没有被广泛传播开来。“这个时候，我们只知道企图利用这个漏洞的有针对性的攻击，”微软安全顾问947563说。
　
　　这一漏洞影响的Excel版本如下，Microsoft Office Excel 2003 Service Pack 2， Microsoft Office Excel Viewer 2003， Microsoft Office Excel 2002， Microsoft Office Excel 2000 and 和为适用苹果麦金塔电脑的Microsoft Excel 2004.
　
　　要还是不要补丁？
　
　　微软公司的安全顾问称，他们还没有决定是否要为这一漏洞发布补丁。他补充说，“微软公司正在调查公众报告和用户反馈。这项调查完成后，公司将采取适当的行动来帮助保护我们的用户。行动可能包括在我们的月度发布进程中提供一个安全更新，或是提供一个不定期发布的安全更新，这要看我们用户的需要是怎样的。”
　
　　微软公司描述了攻击这一漏洞的两种载体：邮件攻击和基于网络的攻击。公司以前未对这两种载体的重要性予以重视。
　
　　微软公司称，基于网络的攻击需要黑客们先把含有恶意代码的Excel文件放在一个网页上，然后诱使一个受害者打开它。
　
　　“黑客们没有办法强迫使用者访问这种网站。相反，他们会设法说服使用者访问这些网站，典型的方法是诱使用户点击一个电子邮件中的链接，或是一条来自于MSN的即时消息里的链接，以使用户登陆他们的网站，”微软公司解释说。
　
　　“为了使‘电子邮件攻击’成功，必须让某个用户打开黏贴在电子邮件里的附件，”安全顾问补充说。安全博客作者Larry Dignan指出，“这没有让我觉得好受一点，因为用户们总是会打开邮件里的附件”。
　
　　应当正式发布补丁
　
　　nCircle 网络安全公司的安全行动总监Adrew Storms在一封电子邮件中说，微软的这种忠告包含了相互矛盾的说法。忠告里的两点—一是这个漏洞必须先让使用者打开邮件里的附件和攻击者到目前为止是有针对性的—“并不令人安心，”他说，“事实上，它们应当被看做微软公司更有理由发布补丁。”
　
　　Storms补充说，“如果攻击是有针对性的，比如一场精心策划的钓鱼式攻击，那么结果是该攻击目标的用户更有可能打开邮件里的附件。”
　
　　然而，在一般的电子邮件攻击中，使用者们已经认识到他们不应该打开不认识的人发送来的电子邮件里的附件，或者是没想到他们会发送来的邮件附件。
　
　　安全团队开始“解除附魔”
　
　　由于没有找到解决办法，目前情况不能使用Excel2000和2002，作为为Excel 2003准备的变通方法，微软公司推荐使用Microsoft Office Isolated Conversion Environment（MOICE）来运行附件。
　
　　“好消息是微软公司有一些正当的理由拭目以待看这些风险是否会延续下去，”Storm说，“目前，已知的Excel版本漏洞还受限制，MOICE现有的缓解功能已经可用了好长一段时间了。”
　
　　“无论如何，不管有无风险，这已经不是我们第一次看到Office文件解析漏洞了，而安全团队企业面对这些无休无止的问题越来越失去‘魔力’。”