Word漏洞可能泄密 微软网站的Word文件照样有错!
发布时间: 2009-09-23 丨 阅读次数: 10225
你也许认为制作微软Word软件的人充分了解这个应用软件,能够使他们避免意外泄漏内部信息的尴尬。可是,你错了。
波兰华沙的一位23岁的计算机安全专家MichalZalewski上个月进行了一次在线侦察。结果具有讽刺意味的是,他在微软自己的网站发现了大约500份在编辑过程中没有删除修改痕迹的Word文件。
Zalewski的发现是一个极好的例子,说明微软如何常常注重开发新的功能,而没有考虑可能产生的后果。最新版本的Word和Office办公软件中的其它程序,如Excel和PowerPoint等,增加了允许工作团队编辑文件的“协作”功能。
例如,管理人员可以在文件边缘输入问题,加入强调的文本或者使用删除线删除某些文本。当原来的作者接受这些修改的时候,最终版本的文件将仅显示编辑后的结果。但是,全部修改仍隐藏在文件中。任何人接到这个文件之后,只要点击一下“审查窗口”就可以暴露文件的编辑历史。
微软从来没有向Word用户提供一种方便的和明显的方法使编辑的最终文件可以清除隐藏的修改。实际上,许多Word用户甚至都不知道这个问题。
这个软件瑕疵曾引起比脸红更难堪的问题。上个月,IT新闻网站News.com发现了SCO集团显然在最后一分钟作出的法律策略的改变。通过查阅SCO集团起诉戴姆勒-克莱斯勒公司的Word文件,News.com发现进一步的诉讼计划还涉及到了花旗银行。
2003年2月,英国政府被迫承认有关伊拉克威胁的官方报道是从杂志和学术研究评论中汇编的资料,而不是来自英国的情报机构。这个Word文件中隐藏的修改显示了这篇报告的作者是从哪些外部资料来源剪贴的材料。
Zalewski浏览了微软的网站,发现一个Word文件的修改跟踪信息原封不动的保留在那里。出于好奇,他使用了一个“蜘蛛”程序检查了微软网站上贴出的大约10万个Word文件。结果发现了500个有问题的Word文件。
波兰华沙的一位23岁的计算机安全专家MichalZalewski上个月进行了一次在线侦察。结果具有讽刺意味的是,他在微软自己的网站发现了大约500份在编辑过程中没有删除修改痕迹的Word文件。
Zalewski的发现是一个极好的例子,说明微软如何常常注重开发新的功能,而没有考虑可能产生的后果。最新版本的Word和Office办公软件中的其它程序,如Excel和PowerPoint等,增加了允许工作团队编辑文件的“协作”功能。
例如,管理人员可以在文件边缘输入问题,加入强调的文本或者使用删除线删除某些文本。当原来的作者接受这些修改的时候,最终版本的文件将仅显示编辑后的结果。但是,全部修改仍隐藏在文件中。任何人接到这个文件之后,只要点击一下“审查窗口”就可以暴露文件的编辑历史。
微软从来没有向Word用户提供一种方便的和明显的方法使编辑的最终文件可以清除隐藏的修改。实际上,许多Word用户甚至都不知道这个问题。
这个软件瑕疵曾引起比脸红更难堪的问题。上个月,IT新闻网站News.com发现了SCO集团显然在最后一分钟作出的法律策略的改变。通过查阅SCO集团起诉戴姆勒-克莱斯勒公司的Word文件,News.com发现进一步的诉讼计划还涉及到了花旗银行。
2003年2月,英国政府被迫承认有关伊拉克威胁的官方报道是从杂志和学术研究评论中汇编的资料,而不是来自英国的情报机构。这个Word文件中隐藏的修改显示了这篇报告的作者是从哪些外部资料来源剪贴的材料。
Zalewski浏览了微软的网站,发现一个Word文件的修改跟踪信息原封不动的保留在那里。出于好奇,他使用了一个“蜘蛛”程序检查了微软网站上贴出的大约10万个Word文件。结果发现了500个有问题的Word文件。