Office檔案加密功能有瑕疵

看板NetSecurity (資安資訊安全)作者snoy.時間21年前 (2005/02/15 10:32)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

CNET新聞專區：Robert Lemos報導　　2005/01/21 安全研究員警告，微軟Word和Excel文件的資料保護功能有重大瑕疵，可能讓外人窺視已受密碼保護的檔案。問題出在微軟程式設計人員在Office應用程式中執行的加密過程不正確，新加坡Institute of Infocomm Research解碼專家Hongjun Wu在一篇論文中指出。他寫道：「那些檔案即使已經加密，仍然可從中擷取許多資料。如果任何人曾用微軟 Office加密，現在最好評估可不可能已造成損害。」微軟公司18日表示，已開始研究這項瑕疵。微軟在答覆CNET News.com的聲明中說：「我們初步的調查顯示，此事對用戶構成的威脅極低。在某些情況下，攻擊者是可能讀取加密檔案的內容，如果駭客能取得該檔案的多重版本的話。但駭客必須取得兩個檔名相同、受相同密碼保護但內容不同的檔案，才能利用此弱點。」對加密專家而言，用相同的金鑰（key）為一則以上的訊息加密，是有瑕疵的。那是因為只要把這些加密訊息拿來比對一番，就可大幅縮短尋獲正確金鑰以開啟訊息的時間。微軟Office瑕疵凸顯出微軟產品的加密防護不周延。安全研究員之前也一再質疑前幾版 Windows作業系統的密碼保護太弱。1999年，有關Windows NT核心程式密碼鎖究竟安不安全的辯論，也讓微軟成為眾矢之的。最新的問題幾乎與1999年的系統鎖問題如出一轍。Counterpane網際網路安全公司技術長兼《應用密碼學》（Applied Cryptography）一書作者Bruce Schneier說：「這是幼稚園級的加密錯誤。一錯再錯，更是糟糕。」 Schneier本周稍早在個人網誌中撰文評論此問題，砲轟微軟未記取教訓。軟體巨人則回應，尚未在程式碼評論報告中公布最新的弱點，但此弱點與先前已發現的一項弱點近似。微軟也表示，會檢討Office裡的加密程式。「一完成調查，微軟便會採取適當行動保護用戶。可能包括每月例行性發布的程序，提供安全性更新。」 -- ◢█◣▏◤█◣ ◆未來最舊小棧 Oldest Future Object █●▇█▁˙█ ◆通訊頻率 OfO.twbbs.org ◥█◢▉◥█◤ ◆來源座標 211-74-179-91.adsl.dynamic.seed.net.tw