小心駭客用Word文件偷檔案

微軟公司12日說，旗艦文書處理軟體Word有個安全瑕疵，可能讓Word文件挾持存在電腦內的其他檔案，導致資料外流。

不過，欲利用此安全漏洞竊取檔案的賊，必須先費一番工夫精心計劃，確知想偷檔案的檔名和存放的路徑，並唆使受害者開啟、修改、儲存然後回傳夾帶檔案的Word文件。

微軟發言人表示，這樣的偷竊計畫最容易在Word 97環境下執行，但Word 2000和2002也可能淪為駭客偷竊檔案的工具，如果駭客能說服受害者先把文件印出來的話。

該發言人透過電子郵件聲明：「微軟安全反應中心正徹底調查此事，正如我們每接到微軟產品安全性受影響的消息時所做的回應一般。一旦完成調查，我們會採取行動，為微軟顧客提供最佳的服務。」
新安全瑕疵的詳細細節最早在8月26日在知名的Bugtraq病毒追蹤郵寄名單中揭發。此訊息服務的主辦者是 SecurityFocus，賽門鐵克公司（Symantec）的子公司。

駭客利用「插入文件」（INCLUDETEXT）的欄位──嵌入Word文件中的一種隱含欄位──把文件複製到在另一部電腦上開啟的一個doc檔中。檔案可用一個小白字型隱藏起來，使得附加上去的文件幾乎看不出來。

編著多本Windows軟體書籍的Woody's Office Watch編輯Woody Leonhard在他的電子郵件通訊中，對此問題也特別著墨了一番。

微軟並未訂出發布修補程式的時間表。預防檔案遭竊的唯一方式，是透過doc檔的屬性內容，親手檢查那些欄位。 （唐慧文）

REF:http://www.zdnet.com.tw/news/software/0,2000085678,20052924,00.htm