Microsoft Word宏代码自动执行漏洞发布时间:2003-09-02 更新时间:2003-09-02 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:设计错误 利用方式:客户机模式 受影响系统 Microsoft Word 97详细描述 宏是一套自动完成某个任务的命令和指令集,Microsoft Word支持使用宏来完成任务。为了防止滥用宏,OFFCIE具有安全模型用来验证宏是否可执行。 攻击者可以构建恶意文档利用这个漏洞绕过安全模型,如果文档打开时,漏洞允许嵌入的宏无视宏模型而自动执行。这些宏可以进行文件增加,更改,删除等功能。 目前没有详细信息提供。 测试代码 尚无 解决方案 补丁下载: Microsoft Word 2002: http://microsoft.com/downloads/details.aspx?FamilyId=7D3775FC-F424-4B04-ABEB-9B4CA1EB182D&displaylang=en Administrative update only: http://www.microsoft.com/office/ork/xp/journ/wrd1006a.htm Microsoft Word 2000: http://microsoft.com/downloads/details.aspx?FamilyId=4A8F6ACE-E14E-4978-A9C9-6989CD03A4A3&displaylang=en Administrative update only: http://www.microsoft.com/office/ork/xp/journ/wrd0903a.htm Microsoft Word 97/Microsoft Word 98(J): Information on receiving Microsoft Word 97 & Microsoft Word 98(J) support is available at: http://support.microsoft.com/default.aspx?scid=kb;en-us;827647 Microsoft建议用户访问Office更新站点http://www.office.microsoft.com/ProductUpdates/default.aspx来检测和安装安全补丁。 相关信息 参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp |
