文档章节

Excel 曝Power Query安全漏洞

问题终结者
 问题终结者
发布于 07/21 15:17
字数 603
阅读 8
收藏 0

近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。

Excel 曝Power Query安全漏洞Excel 曝Power Query安全漏洞

(图自:Mimecast,via BetaNews)

Mimecast 表示,Power Query 提供了成熟而强大的功能,且可用于执行通常难以被检测到的攻击类型。

令人担忧的是,攻击者只需引诱受害者打开一个电子表格,即可发起远程 DDE 攻击,而无需用户执行任何进一步的操作或确认。

对于这项发现,Ofir Shlomo 在一篇博客文章中写到:Power Query 是一款功能强大且可扩展的商业智能(BI)工具,用户可将其与电子表格或其它数据源集成,比如外部数据库、文本文档、其它电子表格或网页等。链接源时,可以加载数据、并将之保存到电子表格中,或者动态地加载(比如打开文档时)。

Mimecast 威胁中心团队发现,Power Query 还可用于发起复杂的、难以检测的攻击,这些攻击结合了多个方面。

借助 Power Query,攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开时将内容加载到电子表格中,恶意代码可用于删除和执行可能危及用户计算机的恶意软件。

作为协调漏洞披露(CVD)的一部分,Mimecast 与微软合作,来鉴定操作是否是 Power Query 的预期行为,以及相应的解决方案。

遗憾的是,微软并没有发布针对 Power Query 的漏洞修复程序,而是提供一种解决方案来缓解此问题。

原文来自: https://www.linuxprobe.com/excel-power-query.html

本文转载自:https://www.linuxprobe.com/excel-power-query.html

问题终结者
粉丝 25
博文 1311
码字总数 222217
作品 0
运维
私信 提问
Excel 曝出 Power Query 安全漏洞,1.2 亿用户易受远程 DDE 攻击

近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查...

作者: 安华金和
06/29
0
0
power query(获取与转换):excel数据整理的新利器

在excel 2016版本中,“数据”选项卡下新内置了一个叫“获取与转换”组的功能。看起来简简单单的几个功能命令,真正应用起来,却别有洞天。 这个叫“获取与转换”的组,其实就是power query...

曾贤志
2016/06/22
0
0
PowerPivot+PowerQuery+PowerBI国内文章导航

导航更新于:2017年11月8日,最新更新,欢迎大家访问Powerbi.cc,关注知乎专栏【Power BI】 在介绍之前先看一篇干货吧!我觉得这也是学习这套插件的最主要的目的,我们一起看一下高飞老师给我...

雷公子
2017/04/04
0
0
基于Excel2013的数据导入

请确认安装好Excel2013,如何安装Excel2013请自行上网搜索。 Excel2013下载网盘链接: https://pan.baidu.com/s/1MdF2pTxlJqZMqILcW2PeBA 密码: rxuv 这个安装包中有破解软件KMSpico,当中有使...

潇洒坤
2018/06/16
0
0
Excel Power Query经典应用之二维表转一维表

Excel Power Query经典应用之二维表转一维表 将一个二维表格转为一维表格,是我们经常要做的事,目的是为了将数据做更好的分析。但Excel普通的转换的方式却比较麻烦。不过不用担心。利用Exc...

曾贤志
2017/06/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

最简单的获取相机拍照的图片

  import android.content.Intent;import android.graphics.Bitmap;import android.os.Bundle;import android.os.Environment;import android.provider.MediaStore;import andr......

MrLins
今天
6
0
说好不哭!数据可视化深度干货,前端开发下一个涨薪点在这里~

随着互联网在各行各业的影响不断深入,数据规模越来越大,各企业也越来越重视数据的价值。作为一家专业的数据智能公司,个推从消息推送服务起家,经过多年的持续耕耘,积累沉淀了海量数据,在...

个推
今天
10
0
第三方支付-返回与回调注意事项

不管是支付宝,微信,还是其它第三方支付,第四方支付,支付机构服务商只要涉及到钱的交易都要进行如下校验,全部成功了才视为成功订单 1.http请求是否成功 2.校验商户号 3.校验订单号及状态...

Shingfi
今天
5
0
简述Java内存分配和回收策略以及Minor GC 和 Major GC(Full GC)

内存分配: 1. 栈区:栈可分为Java虚拟机和本地方法栈 2. 堆区:堆被所有线程共享,在虚拟机启动时创建,是唯一的目的是存放对象实例,是gc的主要区域。通常可分为两个区块年轻代和年老代。更...

DustinChan
今天
7
0
Excel插入批注:可在批注插入文字、形状、图片

1.批注一直显示:审阅选项卡-------->勾选显示批注选项: 2.插入批注快捷键:Shift+F2 组合键 3.在批注中插入图片:鼠标右键点击批注框的小圆点【重点不可以在批注文本框内点击】----->调出批...

东方墨天
今天
7
1

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部