与此同时,卡巴斯基公司的一位代表指出了一个有趣的观点,即“最常用的漏洞都不位于 MS Office 本身。 更准确的说法是,这些漏洞存在于 Office 相关组件中。” 例如,两个最危险的漏洞是 CVE-2017-11882 и CVE-2018-0802,可在旧版 Office 公式编辑器中找到,该编辑器以前用于创建和编辑公式。
该公司在演示中指出:“如果你看看 2018 年流行的漏洞,你就会发现恶意软件作者更喜欢易于利用的逻辑错误。” “这就是公式编辑器漏洞的原因 CVE-2017-11882 и CVE-2018-0802 目前最常用的是 MS Office。 简而言之,它们非常可靠,并且适用于过去 17 年发布的所有 Word 版本。 而且,最重要的是,为其中任何一个创建漏洞都不需要高级技能。”
此外,即使漏洞不直接影响Microsoft Office及其组件,但它们也经常使用Office产品文件作为中间环节。 例如, CVE-2018-8174 是 MS Office 在处理 Visual Basic 脚本时启动的 Windows VBScript 解释器中的一个错误。 类似的情况与 CVE-2016-0189 и CVE-2018-8373,这两个漏洞都存在于 Internet Explorer 脚本引擎中,该引擎也用于 Office 文件中处理 Web 内容。
提到的漏洞存在于 MS Office 中使用多年的组件中,删除这些工具将破坏与旧版本 Office 的向后兼容性。