嚴(yán)重影響用戶體驗(yàn) - 分析師稱Office沙盤技術(shù)效果不佳

Win7之家（ afsion.com.cn）：嚴(yán)重影響用戶體驗(yàn) - 分析師稱Office沙盤技術(shù)效果不佳

日前,微軟宣稱將在Office 2010中首次采用沙盒技術(shù).安全專家分析稱,微軟的這個(gè)做法就是間接表示,微軟根本無(wú)力阻止黑客利用文件格式中的漏洞.
Gartner的主要安全分析師John Pescatore表示,Office中有很多的漏洞,在過(guò)去18個(gè)月里,黑客們經(jīng)常使用fuzzing自動(dòng)化漏洞發(fā)掘技術(shù),去查找Office文件格式中的漏洞,進(jìn)而對(duì)用戶的計(jì)算機(jī)發(fā)起攻擊.”

不得不說(shuō),“Fuzzing”技術(shù)真的是黑客的好朋友,借助“Fuzzing”工具,黑客可以很方便地查找到應(yīng)用程序軟件中的漏洞.

近期,微軟一直都忙于修復(fù)其Office應(yīng)用程序中的文件格式漏洞,其中包括Publisher 2007中的1個(gè)漏洞,Excel中的6個(gè)漏洞,Word中的2個(gè)漏洞.鑒于Office 2010漏洞頻出的現(xiàn)象,微軟不得不借助“沙盒”技術(shù)去阻止黑客的攻擊.

Pescatore表示,由于黑客不停地使用fuzzing工具去發(fā)掘Office中的漏洞,使得微軟不得不借助“沙盒”技術(shù).換句話也就是微軟等于是在說(shuō)“我們沒(méi)辦法發(fā)現(xiàn)每一個(gè)漏洞,更不用說(shuō)修復(fù)了”,所以將采用沙盒技術(shù).

Office團(tuán)隊(duì)的高級(jí)安全程序經(jīng)理Brad Albrecht表示,Office 2010將會(huì)支持“保護(hù)模式”,使得Word、Excel和PowerPoint文件處于只讀環(huán)境中.

據(jù)了解,當(dāng)用戶啟用Office 2010的“保護(hù)模式”,進(jìn)入安全閱讀模式時(shí),Office 2010會(huì)在獨(dú)立的沙盒中為Word、Excel和PowerPoint文件提供只讀環(huán)境.這個(gè)時(shí)候,沙盒技術(shù)將最小化某個(gè)文檔對(duì)系統(tǒng)的訪問(wèn)并將其與其他 文檔隔離開(kāi)來(lái),即使用戶讀取的文檔是惡意文件,它也無(wú)法從沙盒中逃脫出來(lái),更不用說(shuō)去攻擊用戶的計(jì)算機(jī)和數(shù)據(jù)了.

不過(guò),Pescatore表示,啟用“沙盒”技術(shù)之后,這些應(yīng)用程序文件都是只讀的.這也就意味著如果用戶想要添加文件或者是修改文件,將會(huì)不被允許,這或許會(huì)激怒一些用戶.

此外,Pescatore還指出,沙盒基本上就是一款輕量級(jí)版本的虛擬機(jī),將會(huì)大大地消耗用戶的計(jì)算機(jī)資源.從另一方面講,當(dāng)電腦越來(lái)越快的時(shí)候,“沙盒”的循環(huán)就越快.

目前,微軟尚未針對(duì)這些問(wèn)題做出正面的回應(yīng).