微軟修補藏了17年的Office漏洞

微軟於本周二（11/14）的每月例行性更新中修補了53個安全漏洞，其中有20個屬於重大（critical）漏洞，特別的是，微軟此次修補了Office中一個已存在17年的安全漏洞—CVE-2017-11882。

CVE-2017-11882雖然可招致任意程式攻擊，但只被微軟列為重要（Important）漏洞。根據微軟的說明，CVE-2017-11882是個記憶體毀損漏洞，主要是因Office未能妥善處理記憶體中的物件，若使用者以管理員權限登入，那麼駭客就能接管整個系統，繼之安裝程式、變更或刪除檔案，也能建立具備完整使用者權限的新帳號。

駭客只要能說服使用者開啟一個特製檔案就能開採該漏洞，不論是藉由電子郵件附加檔案、網路下載或是連結，影響Office與WordPad等微軟產品。

此一漏洞是由資安業者Embedi的安全研究人員Denis Selianin所揭露。 Selianin指出，出問題的是微軟在2000年所打造的Equation Editor，它的執行檔名稱為Eqned.exe，這是Office的預設工具，可於文件中插入及編輯方程式，被應用在Office 2000與Office 2003中。

自Office 2007起，微軟變更了顯示與編輯方程式的方法，也許是為了相容性的考量，微軟並未移除過時的Eqned.exe。然而，Selianin卻發現，這個老舊的Eqned.exe是在額外的空間執行，因此並未受到Windows或Office安全機制的保護，且已打造了可攻陷自2000年以來任何Windows平台上各種Office版本的攻擊程式。

有鑑於微軟早就終止某些Office版本的支援，因此本周只釋出供Office 2007、2010、2013與2016部署的更新程式。