MOICE, 微软发布的OFFICE最新安全功能

最新推荐文章于 2022-01-12 14:56:14 发布
最新推荐文章于 2022-01-12 14:56:14 发布
阅读量2.1k 收藏
点赞数
分类专栏: 安全软件开发 文章标签: office 微软 文档 powerpoint microsoft 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/1621860
版权
5月21日,微软正式发布了MOICE,这是OFFICE 2003 和2007提供的最新安全功能。
 
MOICE,就是Microsoft Office Isolated Conversion Environment (MOICE)。不要问我这个单词怎么发音,以及为什么会选择这么一个(饶舌)的名字。身为开发人员的悲哀之一,就是对产品的最终命名没有任何影响力。唉,大权都掌握在市场部门手里。
 
好,言归正传。MOICE到底是什么?
 
我们知道,一个最新的安全趋势是针对计算机系统的攻击重点从操作系统向应用程序转移。OFFICE程序,如WORD,或POWERPOINT,近一段时间是被攻击的重点。算算这一阵子微软发布了多少OFFICE的安全补丁。
 
MOICE针对就是OFFICE文档的安全漏洞。
 
在OFFICE 2007,提出了一套基于XML全新的文档格式。根据对以往OFFICE安全漏洞的分析,那些有害文档往往都包括一些非常规的格式。一个有趣的事实是如果把这些含有安全漏洞的有害文档转换为最新的2007的XML格式,转换的时候要么转换工具会报告转换失败,要么转换工具就干脆崩溃(crash)。
 
那么MOICE的原理就是,当打开一个老版本的OFFICE文档的时候,先启动一个运行于受限环境(isolated environment)的转换工具。然后用这个转换工具试图将原先的OFFICE文档转换位2007的XML格式。如果转换成功,则正常打开。如果失败,或者转换工具异常退出,就向用户提出警告。通过这个措施,希望即使文档中有微软还没有发现(0-day exploit)的OFFICE安全漏洞,也会被MOICE给防范住。
 
当然了,MOICE会影响到文件打开的速度。不过对于常规大小的文件,是看不出太大区别的。
 
总之,这是一个非常不错的安全功能。强烈推荐大家安装。
以下两个站点包括更多的信息,包括如何安装。
 
 
chengyun_chu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全编码实践三:C/C++静态代码分析工具Prefast
08-05 2万+
《程序员》5月文章。申明。文章仅代表个人观点,与所在公司无任何联系。 概述    在前面的安全编码实践的文章里,我们讨论了GS编译选项和数据执行保护DEP功能。 结论是GS和DEP可以有效的缓解缓存溢出类型的安全漏洞的危害。关于这个结论,有两个大家需要值得注意的地方。   第一:GS和DEP是缓解(mitigation)措施。也就是说,代码本身仍然存在着安全漏洞,只是由于GS和
安全编码实践四:C/C++中禁用危险API
10-23 2万+
 《程序员》9月文章 申明。文章仅代表个人观点,与所在公司无任何联系。概述    在前面的安全编码实践的文章里,我们讨论了GS编译选项,数据执行保护DEP功能,以及静态代码分析工具Prefast。这里,我们讨论在C/C++代码中禁用危险的API,其主要目的是为了减少代码中引入安全漏洞的可能性。那些是危险的API 2.1历史   在微软产品的安全漏洞中,有很大
Microsoft Office2024办公软件最新版本
FLflStudio的博客
01-12 5989
Microsoft Office 2024办公软件最新版本
office2019专业增强版64位和32位安装包收集整理
热门推荐
jingxiansheng的博客
05-18 13万+
Office2019专业增强版是微软官方最新推出的一款办公软件,置信大家对此软件不会感到陌生。Office2019专业增强版提供了很多适用性很强的功用,比如增加了多显现器显现优化功用,当我们运用两个显现器的时分,不能完好保证这两个显现器的分辨率是分歧的,所以在不同显现器上显现文档时会有差别,假定运用多显现器显现优化功用,就可以有效避免同一文档在不同显现器上呈现显现效果出错的问题。Office201...
office2022最新版本Microsoft 365
CaiHuaZeiPoJie的博客
01-07 9471
office2022正式版是微软即将发布的全新的office版本,office2022正式版将于 2021 年下半年发布,适用于 Windows 和 macOS 系统。按照惯例,微软每隔三年发布一次新版 Office,所以在2021年下半年推出的office有很大概率会命名为 Office 2022。大家可以关注一下哦!
微软禇诚云:软件安全漏洞与软件开发
唯一谣|Airs|走尽天涯路|极地阳光
03-21 2447
 微软安全响应中心的禇诚云分享了他在软件安全漏洞与软件开发上的研究成果。以下为褚诚云讲演实录:褚诚云:大家好!我叫褚诚云,来自微软公司。我这个讲座可能跟其他人的讲座都有一点不一样,我是从产品开发的角度和大家分析安全漏洞。我希望利用这个机会可以和大家分享一些在软件开发过程中如何避免安全漏洞的经验。我先自我简单介绍一下,SWI称为Secure Windows Initiative,我们这个组处理微软
IE 8 RC 发布 附:IE 8 安全特性一文
01-29 1万+
IE8的最新测试版本:RC1 (Release Candidate 1)刚刚发布了。有兴趣的可以从以下URL下载: http://www.microsoft.com/windows/Internet-explorer/beta/ 附上IE 8 安全特性一文 杂志2008年10月 IE 8 安全特性褚诚云安全软件工程师Secure Windows Init
Web安全开发:SQL注入攻击和网页挂马
09-13 1万+
 申明。文章仅代表个人观点,与所在公司无任何联系。 1.     概述网页挂马这个话题想来大家并不陌生。为什么有这么多的网页上存在着木马去攻击普通用户?不可否认,相当一部分网页原本就是恶意的:网页的作者故意在上面放上木马,然后通过各种手段引诱用户去浏览。但是绝大多数被挂马的网页原本是正常的网页,例如普通的教育网站,购物网站等等,只是网页被攻击者恶意修改后插入了木马代码。那么,攻
安全编码实践之五地址空间格局随机化ASLR
10-09 1万+
 1.     概述在前面安全编码实践中我们介绍过GS编译选项和缓存溢出,以及数据保护DEP。首先,缓存溢出的直接后果就是可能导致恶意代码的远程执行,于是编译器提供了GS保护。但是,GS选项有自身的局限,存在若干方法可以绕过GS选项的保护。于是进一步,操作系统提供了数据执行保护,即DEP,以及与之对应的NXCOMPAT编译选项。那么是不是现在我们就可以高枕无忧了?在安全领域中,系统的攻
Windows 7安全和网页挂马
09-17 1万+
这几年来,国内网页挂马的现象是越来越严重。不管是白道黑道,或攻或防,都围绕着这个问题做文章。我们看到,有利用IE安全漏洞的0day,如去年的XML。或ActiveX控件的0day,如前一阵子的OWC安全漏洞。这一个过程中,安全厂商或是推出自己的IE的Plug-in监测,或是URL拦阻,或是在反病毒上做文章等等。 我对于如反病毒之类的响应类型软件的效果,一直是有保留态度。有兴趣的同时可以参见
跨站脚本XSS
06-25 1万+
《程序员》文章。申明。文章仅代表个人观点,与所在公司无任何联系。  1.概述      跨站脚本Cross-Site Scripting(XSS)是最为流行的Web安全漏洞之一。据统计,2007年,跨站脚本类的安全漏洞的数目已经远远超出传统类型的安全漏洞【1】。那么,什么是跨站脚本?它的危害性是什么?Web开发人员如何在开发过程中避免这类的安全漏洞?就是我们这篇文章要讨论的内容
微软关于推广安全软件开发周期SDL的最新消息
09-18 1万+
11月份预计会有两个工具可以给大家免费下载: SDL Threat Modeling Tool 3.0 这个是用来构造风险模型(threat modeling)。风险模型是SDL的一个重要组成部分,这个工具微软内部已经使用了很有一段时间啊了。 Optimization Model  这个是用来辅助团队如何更高效的实施SDL。 更详细信息参见http://msd
安全:操作系统和浏览器的关系
03-21 1万+
今天看来Ryan对Charlie Miller的采访。这位老兄刚刚在CanSecWest上的黑客大赛上攻陷了Safari浏览器。 采访的全文可以参见: http://blogs.zdnet.com/security/?p=2941  采访中最有意思的一个话题是: Why Safari?  Why didn’t you go after IE or Safar
如何评测软件系统的安全
07-04 1万+
常常被问到这么一个问题:如何评测一个软件系统到底有多安全? 一个回答是:我们不是有专门的软件安全评测标准和机构吗?没错,我们有专门的国际标准Common Criteria, ISO/IEC 15408,国家标准GB 18336。有专门的评测中心,如Common Criteria Lab,和中国信息安全产品测评认证中心。 似乎我们只要按照标准提供相应文档,把软件交给评测机构,不就行了
软件安全开发周期 - SDL
05-08 8654
 申明。文章仅代表个人观点,与所在公司无任何联系。 1.     概述安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的软件开发模式。 那么,SDL到底是什么,它是如何和传统的软件开发模式结合?
谷歌拼音输入法的安全漏洞
04-07 7856
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。 但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.ht
续:Windows Vista操作系统最新安全特性分析:改进和局限 (下)
04-29 7562
4.     权限保护 4.1用户帐号控制(User Account Control) 背景。在以往的Windows系统上,绝大多数用户都是以管理员(Admin)权限登录。这是因为太多的操作,如应用程序的安装和运行,操作系统配置的修改等等,都需要管理员权限。 那么,导致的后果就是,计算机病毒和间谍软件一旦感染系统,也就同时拥有了管理员权限,可以随心所欲地做各种事情,如篡改防
阻止网页挂马的若干工具
06-25 7407
上个blog中提到国内网站被挂马的常见原因是SQL注入攻击。那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击?今天,微软和惠普的安全部门合作发布了三个工具,分别是:微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。这个工具给网站开发人员使用。是一个静态扫描ASP代
ARP 缓存污染和IFRAME嵌入攻击
07-27 6909
最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。 我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:Scan type: Auto-Protect ScanEvent: Security Risk Found!Threat: Trojan.Exploit.131File: C:/

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值