机构预警：提防以盗取隐私为主的Office噩梦公式漏洞攻击

2017-12-14  来源：  新华网

　　新华社天津１２月１４日电（记者周润健）３６０互联网安全中心发布紧急预警，Ｏｆｆｉｃｅ噩梦公式漏洞攻击呈爆发趋势，恶意文档通过垃圾邮件附件扩散，每天传播量千余次且正急速增长。本次攻击以盗取隐私为主，且黑客极有可能通过植入的后门实施其他任意恶意操作。

　　对大多数人来说，办公文档被认为是非常安全的，但是当Ｏｆｆｉｃｅ办公软件存在漏洞时，原本“无毒无害”的文档也会成为黑客的致命武器。

　　安全专家介绍说，该漏洞属于远程代码执行漏洞，由于利用的是Ｏｆｆｉｃｅ程序的“公式编辑器”，安全人员因此命名它为噩梦公式漏洞。

　　带有噩梦公式漏洞的恶意文档主要通过含有“订单”“产品购买”等字样的垃圾邮件附件传播，极易诱骗人们点击，恶意后门程序会窃取中招设备上的重要数据发送到黑客的服务器上。

　　安全专家表示，噩梦公式漏洞曾在Ｏｆｆｉｃｅ中潜伏长达１７年之久，并在不久前微软１１月安全补丁中刚刚得到修复。然而，微软只针对Ｏｆｆｉｃｅ２００７　ｓｐ３及以上的版本提供补丁，部分老版本Ｏｆｆｉｃｅ用户则无法修补漏洞。

　　由于该漏洞危害巨大，３６０互联网安全中心提醒，Ｏｆｆｉｃｅ用户应及时安装微软１１月补丁，同时开启系统安全软件，及时更新病毒库进行防护，彻底免疫该漏洞。