微軟警告：Office 存漏洞、修補有排等？！

微軟警告所有 Word 用戶存在一個已知的安全漏洞，但目前仍然未推出相關的 patch 修補，故黑客仍然可以利用這漏洞對電腦進行攻擊。

這個漏洞是由 Google 的保安專家所發現，並通報微軟有關的漏洞。微軟發言人 Dustin Childs 指如果用戶在 Microsoft Outlook 開啟了一個特製的 RTF(Rich Text Format)檔案，黑客便可以執行 remote code execution 而取得電腦的控制權，目前仍未有 patch 對此漏洞進行修補。

問題的原因是 Word 解讀 RTF 檔的程式出現錯誤，雖然已知的攻擊目標是 Word 2010，但微軟於網站之中亦提到其他版本的 Office 都存在同樣漏洞，包括 Word 2003、Word 2007、Word 2013、Word 2013 RT 以及 Mac Office 2011。

黑客可能利用含 RTF 附件的電郵或附有 RTF 內容的網站將惡意程式碼散播。由於 Outlook 預設會用 Word 開啟 RTF 檔，所以即使 preview 一下都會受到影響；亦即是說，預覽亦可為黑客製造 drive-by 攻擊的機會。

MS Word 用戶可在官方網站取得修補工具 https://support.microsoft.com/kb/2953095，但網站就未提及何時有正式 patch 推出，由於這次漏洞只屬小規模針對性攻擊，相信會推出緊急 patch 機會不大，或許最遲要等到 4 月 8 日的例行更新 patch 中才修補這漏洞。