10亿多微软Office用户处于漏洞风险之下，Word文档暗藏恶意软件成漏洞利用载体。

 

微软发现Word文档中存在漏洞可供黑客伪装攻击载荷之后，“仅仅”(jìng rán)花了半年，放出了补丁。

该漏洞利用是微软在2016年10月发现的，能将恶意软件隐藏在.doc文件中，危害Windows和Office用户。受害者一旦打开受感染的.doc文件，该文件就会自动连接到服务器，下载一个HTML应用，可让攻击者获得设备完整控制权。所有版本的Office均受影响。

4月11日，微软发布了针对该问题的补丁。在发现漏洞到实际修复这段时间内，芝加哥小熊队时隔108年再夺美职棒大联盟世界大赛冠军，三星 Galaxy Note 7 被召回，特朗普宣誓就任美国总统，NASA发现7颗可能有生命迹象的系外行星。是的，6个月，很多事都可能发生。

4月27号路透社报道，瑞恩·汉森，Optiv安全顾问，在10月份，尚无任何黑客利用过该漏洞之时，就通知了微软该漏洞的存在。微软向路透社透露：该问题的修复非常棘手，因为一旦警告用户，那黑客也就知道可以利用这个漏洞了。

　　从发现漏洞到放出安全更新的延时，受许多因素的影响，因为每个漏洞都有其特异性，要解决不同的难题。最终，安全更新的开发，是及时性与最佳品质之间的微妙平衡。

　　——微软代表在声明中的措辞

在漏洞通告上拖延，会让公司陷入危险境地。雅虎现在都还在处理潜在的参议院听证会——参议员马克·华纳指称该互联网巨头在影响了5亿用户账户的数据泄露事件通报上不够及时。而微软这个案例上，黑客在补丁放出前就收到了有Office漏洞的风声。

　　1月，迈克菲通告了第一起利用该漏洞的攻击，致12亿使用微软Office的用户面临风险。微软却直到3月，安全公司火眼与微软共享了其发现的时候，才知道有活跃攻击这事儿。

4月7号，微软放出补丁前4天，迈克菲揭露了漏洞细节后，攻击暴增。微软发言人称：“迈克菲公开信息之前，我们都没有观测到大范围的漏洞利用活动。”

事件最终随着微软本月初的补丁发布而终结。然而，没有更新Office的用户，依然不安全。

(责任编辑：安博涛)