安全研究员警告,微软Word和Excel文件的数据保护功能有重大瑕疵,可能让外人窥视已受密码保护的档案。
问题出在微软程序设计人员在Office应用程序中执行的加密过程不正确,新加坡Institute of Infocomm Research译码专家Hongjun Wu在一篇论文中指出。
他写道:「那些档案即使已经加密,仍然可从中撷取许多资料。如果任何人曾用微软Office加密,现在最好评估可不可能已造成损害。」
微软公司18日表示,已开始研究这项瑕疵。
微软在答复CNET News.com的声明中说:「我们初步的调查显示,此事对用户构成的威胁极低。在某些情况下,攻击者是可能读取加密档案的内容,如果黑客能取得该档案的多重版本的话。但黑客必须取得两个档名相同、受相同密码保护但内容不同的档案,才能利用此弱点。」
对加密专家而言,用相同的金钥(key)为一则以上的讯息加密,是有瑕疵的。那是因为只要把这些加密讯息拿来比对一番,就可大幅缩短寻获正确金钥以开启讯息的时间。
微软Office瑕疵凸显出微软产品的加密防护不周延。安全研究员之前也一再质疑前几版Windows操作系统的密码保护太弱。1999年,有关Windows NT核心程序密码锁究竟安不安全的辩论,也让微软成为众矢之的。
最新的问题几乎与1999年的系统锁问题如出一辙。Counterpane因特网安全公司技术长兼《应用密码学》(Applied Cryptography)一书作者Bruce Schneier说:「这是幼儿园级的加密错误。一错再错,更是糟糕。」
Schneier本周稍早在个人网志中撰文评论此问题,炮轰微软未记取教训。软件巨人则响应,尚未在程序代码评论报告中公布最新的弱点,但此弱点与先前已发现的一项弱点近似。
微软也表示,会检讨Office里的加密程序。「一完成调查,微软便会采取适当行动保护用户。可能包括每月例行性发布的程序,提供安全性更新。」
