【翻牆問答】微軟將關閉古老Excel巨集功能防黑客入侵

2021-10-08
Share
【翻牆問答】微軟將關閉古老Excel巨集功能防黑客入侵 黑客長年以來對巨集語言的濫用,促使微軟將Excel巨集功能預設關閉。
Unsplash

問:微軟宣布,將會更新Office365版本的Excel對XLM巨集語言的設定,除非用戶自行啟動XLM巨集語言,否則預設關閉XLM巨集。XLM巨集已經有接近三十年歷史,其實這是相當古老的巨集語言,功能遠遠不及用作編寫病毒之用的Visual Basic for Applications,但為何微軟仍以安全考量,預設關閉XLM語言?

李建軍:雖然XLM古老,而且功能以及與其他Office應用程式的協作能力,遠不及Visual Basic for Applications,但對於黑客而言,他們連組合語言一類對人類相當難了解的語言都不怕,XLM又有甚麼可怕?所以黑客在微軟預設關閉Visual Basic for Applications後,見到微軟並無同時關閉XLM語言,就從XLM語言埋手,並且寫出不少入侵系統的巨集病毒,這令微軟不得不連XLM語言都一併預設關閉。XLM語言的用家其實相當少,但仍有一些歷史悠久的大企業,有些數十年歷史的Excel檔案,基於向下兼容的現實需要,微軟才不得不保留XLM功能。

問:對大部分聽眾而言,其實應否開啟XLM或Visual Basic for Applications的功能?

李建軍:除非是你信任的人送來的檔案,而且你又有實質需要使用到當中的巨集功能,否則Visual Basic for Applications或XLM都不應開啟,巨集語言本來為不少高階用家帶來相當程度的方便,亦大大節省高階用家處理重複工序所需時間,因為可以由電腦執行。不過,黑客長年以來對巨集語言的濫用,已經令相當多人都不敢再啟動巨集語言功能,以免自己的系統被入侵。現實而言,基於安全考慮,除了部分公司內部運作需要,有編寫巨集檔案外,大部分公司以至個人都無必要使用巨集語言檔案。而少數要使用的人,仍然可以自行啟動相關功能。因此,微軟將Visual Basic for Applications和XLM都一律預設為關閉,是在保安以及使用便利上作出平衡。

問:Google Sheets都有巨集語言功能,那Google Sheets的巨集語言,又會否對一般用戶的安全造成威脅?

李建軍:病毒要有實質感染作用,以至偷竊資料能力,必須要具備連接作業系統的功能。微軟Excel的巨集語言,無論XLM還是Visual Basic for Applications,都是未有雲端科技年代的產物,他們因具備連接作業系統的能力,才會令XLM和Visual Basic for Applications成為病毒傳播工具。但谷歌的Google Sheets,所使用的巨集只能在雲端範圍內運作,而且谷歌對巨集功能採取相當多的限制,除了簡化一些重複的動作外,基本上很多事都做不到。而雲端本身,再加上瀏覽器的保安限制,幾乎是不可能感染你的電腦。因此,黑客暫時未能對谷歌的雲端辦公室系統打主意,也是這個原因。

這個亦解釋了為何微軟巨集語言變成病毒溫床的獨有現象,因為當年微軟為了加強視窗作業系統與旗下產品的互通性,冒險將旗下巨集語言都具備與作業系統接通能力,造成了一大錯誤。而現代的大部分產品都開始使用在互聯網世界通行,相當多人懂得使用,而且可以橫跨不同作業系統使用,又不會這樣容易造成系統風險的Javascript語言作為巨集語言。

XLM或是Visual Basic for Applications相信會終成過去,現時只不過視乎有多少大企業仍然需要保留有超過數十年歷史的舊檔案,又不能過渡到Javascript。因為微軟在很多系統設計和兼容問題上,會考慮到大企業客戶的需要。對於普通聽眾而言,XLM、Visual Basic for Applications,還是Javascript巨集功能,都是猶如火星文的技術,甚少在現實上用到巨集語言。而XLM和Visual Basic for Applications永久消失前,用戶對自己最好的保護,就是不要隨便啟動舊一代的巨集功能,以及不要隨便接收不明來歷的Excel試算表檔案,以策安全。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。

完整网站