【翻墙问答】微软将关闭古老Excel巨集功能防黑客入侵

2021-10-08
Share
【翻墙问答】微软将关闭古老Excel巨集功能防黑客入侵 黑客长年以来对巨集语言的滥用,促使微软将Excel巨集功能预设关闭。
Unsplash

问:微软宣布,将会更新Office365版本的Excel对XLM巨集语言的设定,除非用户自行启动XLM巨集语言,否则预设关闭XLM巨集。XLM巨集已经有接近三十年历史,其实这是相当古老的巨集语言,功能远远不及用作编写病毒之用的Visual Basic for Applications,但为何微软仍以安全考量,预设关闭XLM语言?

李建军:虽然XLM古老,而且功能以及与其他Office应用程式的协作能力,远不及Visual Basic for Applications,但对于黑客而言,他们连组合语言一类对人类相当难了解的语言都不怕,XLM又有甚么可怕?所以黑客在微软预设关闭Visual Basic for Applications后,见到微软并无同时关闭XLM语言,就从XLM语言埋手,并且写出不少入侵系统的巨集病毒,这令微软不得不连XLM语言都一并预设关闭。XLM语言的用家其实相当少,但仍有一些历史悠久的大企业,有些数十年历史的Excel档案,基于向下兼容的现实需要,微软才不得不保留XLM功能。

问:对大部分听众而言,其实应否开启XLM或Visual Basic for Applications的功能?

李建军:除非是你信任的人送来的档案,而且你又有实质需要使用到当中的巨集功能,否则Visual Basic for Applications或XLM都不应开启,巨集语言本来为不少高阶用家带来相当程度的方便,亦大大节省高阶用家处理重复工序所需时间,因为可以由电脑执行。不过,黑客长年以来对巨集语言的滥用,已经令相当多人都不敢再启动巨集语言功能,以免自己的系统被入侵。现实而言,基于安全考虑,除了部分公司内部运作需要,有编写巨集档案外,大部分公司以至个人都无必要使用巨集语言档案。而少数要使用的人,仍然可以自行启动相关功能。因此,微软将Visual Basic for Applications和XLM都一律预设为关闭,是在保安以及使用便利上作出平衡。

问:Google Sheets都有巨集语言功能,那Google Sheets的巨集语言,又会否对一般用户的安全造成威胁?

李建军:病毒要有实质感染作用,以至偷窃资料能力,必须要具备连接作业系统的功能。微软Excel的巨集语言,无论XLM还是Visual Basic for Applications,都是未有云端科技年代的产物,他们因具备连接作业系统的能力,才会令XLM和Visual Basic for Applications成为病毒传播工具。但谷歌的Google Sheets,所使用的巨集只能在云端范围内运作,而且谷歌对巨集功能采取相当多的限制,除了简化一些重复的动作外,基本上很多事都做不到。而云端本身,再加上浏览器的保安限制,几乎是不可能感染你的电脑。因此,黑客暂时未能对谷歌的云端办公室系统打主意,也是这个原因。

这个亦解释了为何微软巨集语言变成病毒温床的独有现象,因为当年微软为了加强视窗作业系统与旗下产品的互通性,冒险将旗下巨集语言都具备与作业系统接通能力,造成了一大错误。而现代的大部分产品都开始使用在互联网世界通行,相当多人懂得使用,而且可以横跨不同作业系统使用,又不会这样容易造成系统风险的Javascript语言作为巨集语言。

XLM或是Visual Basic for Applications相信会终成过去,现时只不过视乎有多少大企业仍然需要保留有超过数十年历史的旧档案,又不能过渡到Javascript。因为微软在很多系统设计和兼容问题上,会考虑到大企业客户的需要。对于普通听众而言,XLM、Visual Basic for Applications,还是Javascript巨集功能,都是犹如火星文的技术,甚少在现实上用到巨集语言。而XLM和Visual Basic for Applications永久消失前,用户对自己最好的保护,就是不要随便启动旧一代的巨集功能,以及不要随便接收不明来历的Excel试算表档案,以策安全。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站