CNET新闻专区：Robert Lemos报导　　2005/01/21 安全研究员警告，微软Word和Excel文件的资料保护功能有重大瑕疵，可能让外人窥视已受 密码保护的档案。 问题出在微软程式设计人员在Office应用程式中执行的加密过程不正确，新加坡Institute of Infocomm Research解码专家Hongjun Wu在一篇论文中指出。 他写道：「那些档案即使已经加密，仍然可从中撷取许多资料。如果任何人曾用微软 Office加密，现在最好评估可不可能已造成损害。」 微软公司18日表示，已开始研究这项瑕疵。 微软在答覆CNET News.com的声明中说：「我们初步的调查显示，此事对用户构成的威胁极 低。在某些情况下，攻击者是可能读取加密档案的内容，如果骇客能取得该档案的多重版 本的话。但骇客必须取得两个档名相同、受相同密码保护但内容不同的档案，才能利用此 弱点。」 对加密专家而言，用相同的金钥（key）为一则以上的讯息加密，是有瑕疵的。那是因为只 要把这些加密讯息拿来比对一番，就可大幅缩短寻获正确金钥以开启讯息的时间。 微软Office瑕疵凸显出微软产品的加密防护不周延。安全研究员之前也一再质疑前几版 Windows作业系统的密码保护太弱。1999年，有关Windows NT核心程式密码锁究竟安不安全 的辩论，也让微软成为众矢之的。 最新的问题几乎与1999年的系统锁问题如出一辙。Counterpane网际网路安全公司技术长兼 《应用密码学》（Applied Cryptography）一书作者Bruce Schneier说：「这是幼稚园级 的加密错误。一错再错，更是糟糕。」 Schneier本周稍早在个人网志中撰文评论此问题，炮轰微软未记取教训。软体巨人则回应 ，尚未在程式码评论报告中公布最新的弱点，但此弱点与先前已发现的一项弱点近似。 微软也表示，会检讨Office里的加密程式。「一完成调查，微软便会采取适当行动保护用 户。可能包括每月例行性发布的程序，提供安全性更新。」 -- ◢█◣▏◤█◣ ◆未来最旧小栈 Oldest Future Object █●▇█▁˙█ ◆通讯频率 OfO.twbbs.org ◥█◢▉◥█◤ ◆来源座标 211-74-179-91.adsl.dynamic.seed.net.tw