微软Office Open XML中的数字签名漏洞
💡
原文中文,约14100字,阅读约需34分钟。
📝
内容提要
这篇文本总结了针对Microsoft Office的安全研究,发现了针对PDF和ODF等其他办公标准中完整性保护的攻击方法不适用于Office Open XML(OOXML)签名。研究者测试了不同版本的Microsoft Office和OnlyOffice Desktop,并发现它们都存在漏洞。安全研究人员正在努力改进和加强Microsoft Office的安全性来应对这些新的攻击方式。
🎯
关键要点
-
Microsoft Office是最广泛使用的办公文档应用程序之一,数字签名用于确保文件的真实性和完整性。
-
研究发现针对PDF和ODF等其他办公标准的攻击方法不适用于Office Open XML(OOXML)签名。
-
分析揭示了OOXML签名的结构和数字签名验证方式之间的重大差异,导致存在严重的安全缺陷。
-
研究发现了五种新的攻击类别,包括内容注入攻击、内容屏蔽攻击、遗留包装攻击、通用签名伪造和恶意修复攻击。
-
OOXML标准的复杂性导致了规范和实施中的漏洞,攻击者可以利用这些漏洞进行数据操纵。
-
攻击者可以通过未签名的文件注入恶意内容,同时保持文档的有效签名。
-
研究表明,部分签名的支持不能保留文档的完整性,攻击者可以利用这一点进行多种攻击。
-
测试结果显示,所有经过测试的Microsoft Office版本和OnlyOffice Desktop都存在漏洞,安全研究人员正在努力改进安全性。
➡️
