微软Word又爆漏洞 加密文档可能会被任意修改

AMTeam.org消息：1月8日报道微软的Word程序内置有文档修改权限密码保护功能，但最近从一个秘密网站上流传出的一个小程序可以轻易破解这种保护。 

这种名叫十六进制编辑器的小程序可以轻易绕过Word文档中的修改权限密码，这意味着骇客们可以在打开文档后，随意修改文档，并删除或者更换原来的密码！

一家德国安全技术公司Guardeonic Solutions的首席信息官Thorsten Delbrouck在去年11月底，向微软通报了这一情况。

在一份发表于去年12月份的微软知识库文章中，微软否认了这是一个安全漏洞，微软宣称，Word的修改权限密码功能旨在提供对“误修改”的防护，它不提供对欺诈和穷举等恶意手段的安全保护。

这篇技术文章这么解释道：“当你使用修改权限密码这种功能时，我们假设你只是为了防止某人因为误操作而对文档作了修改并存盘。该功能在设计时就不是为了用来阻止恶意用户的恶意企图的。”

如果为了防护上述的恶意企图，微软推荐用户使用文档打开权限密码保护功能。

尽管作出如此解释，但Delbrouck仍对此表示质疑，他举例说，如果他们公司向戴尔公司购买电脑产品，戴尔的销售代表将报价的电子文档用修改权限功能加密后电邮给他，他用这种破解程序破解该报价文档，修改价格后打印签字传真回戴尔公司，戴尔公司很可能就要因此蒙受损失了。

“最后到法庭上，技术专家们肯定会认为我们无罪，因为他们会觉得报价的电子文档被加过密，如今密码都还在，没有被删除修改，我们又不知道密码。”Delbrouck这么说。

作为对这种质疑的回应，微软上周更新了它的知识库文章，增加了这么一行：“如果你使用修改权限密码功能，请注意，恶意用户仍能非法获得修改权限。”

Delbrouck认为微软的这种声明不能解决任何问题，他建议如果面临非要让客户打开文档而又不能让其修改的情况，使用数字签名或使用其它文件格式，如ADOBE的PDF格式。

微软英国公司Office产品市场经理David Bennie在接受英国ZDNet访问时说，尽管修改权限密码在某些情况下确实很有用，但最好不要将其应用在关键场合。

“如果用户利用这种功能来为文档加密，我们认为这是不合适的。”David Bennie同意：如果确实碰到必须打开文档而不能修改的情况，使用数字签名或其他文件格式（如PDF）是更好的替代方法。“如果你需要加密级的安全特性，最好就不要用这种功能。但该功能在防护误修改方面很适合！”David Bennie补充道。

Delbrouck认为微软这是在大事化小。“我认为微软本可以将这一漏洞填补，但微软为了保证不同版本文档的兼容性，只有选择大事化小。”