微软的Excel XP电子表格软件中存在安全缺陷,通过使用特殊格式的XML样式表,黑客可以使用户的PC执行恶意代码,从而控制整个系统。
独立安全研究专家冈尼斯基在其网站上的一份安全公告中表示,当PC用户打开一个Excel(.xls)电子表格文档,并选择使用XML样式表浏览它时,就会出现问题。如果XML中包含特别组成的代码,PC就会试着运行这些代码。
冈尼斯基说,稍微有点儿脚本语言知识的人都知道,这会使黑客完全控制用户的PC。除了询问用户是否使用该样式表外,Excel不会向用户发出任何形式的警报。但他指出,在缺省情况下,Excel不使用样式表显示电子表格文件。
在其网站上,冈尼斯基还展示了一段代码,该代码使Excel XP误认为其中包含的是一个样式表的链接,而实际上它将运行一个列出用户PC上目录内容的命令。
冈尼斯基指出,为了确保安全,用户应当不使用XML样式表。他还说,他已经在5月23日向微软通报了这一安全缺陷。对此,微软没有发表评论。
这也是在微软的产品发现的最新的安全缺陷。上周,微软警告说,Windows NT和2000 的调试工具中存在安全缺陷,一旦黑客获得基本的系统访问权限,就可能控制整个系统。上二周,微软呼吁用户下载补丁程序,修正IE浏览器中发现的6个安全缺陷。
