漏洞管理：Office 2003安全插件MOICE

为了保护用户远离日益增多的针对Office漏洞的攻击，微软近日计划发布一个新的插件。这个新的插件程序被称作MOICE（Microsoft Office Isolated Conversion Environment），它可以将Office 2003 Word, Excel, 或 PowerPoint文档转换为Office 2007 的Open XML格式，从而让这些文档具备了Office 2007的安全等级，而不需要用户安装Office2007 。转换格式后的文件仍然可以被原有程序打开。

对于微软来说，这一步相当重要，因为Office程序已经成为了各种流行恶意软件攻击和利用的重点目标。根据赛门铁克的调查，随着系统安全性的普遍提高，恶意软件开发者将注意力越来越多地集中在了Office用户身上。实际上，在2006年微软安全公告中，有大约三分之二的内容是与Office2003有关的。

企业和个人虽然可以通过及时升级恶意软件查杀工具的方式来保护自身的Office文档不受到攻击。但是在恶意软件出现到安全工具有能力查杀之前有一个时间差，用户在这段时间内没有任何补救措施。而MOICE正是为了解决这一问题而推出的，它可以确保Office文档中只包含合法的内容。

那么这种方式有什么弊端么？总的来说，这是一个很好的安全解决方案，但是对于不少挑剔的用户来说，这种方案需要对文档进行两次转换― 第一次是转换到XML格式，第二次是转换到传统Office 2003格式，这使得用户在打开此类文档时需要耗费更多时间。另外MOICE还会剔除文档中的宏代码以及VBA对象，不论这些代码是否有用，因此这种安全方式不一定适合所有用户。

对于这个格式转换器本身也有一些质疑的声音：如果这个转换器被发现存在漏洞而黑客利用这个漏洞，会带来什么后果？实际上，这完全不是问题，因此转换器运行在一个独立的沙盘环境。转换器的漏洞不会带来严重的攻击。

MOICE原计划在2007年5月发布，但是后来微软又表示要推迟数周发布。估计不久后大家就可以体验到这款转换器的实际效果了。