漏洞信息详情

Microsoft Excel COLINFO远程指令执行漏洞

• CNNVD编号：CNNVD-200610-082
• 危害等级： 中危
  
• CVE编号： CVE-2006-3875
• 漏洞类型： 边界条件错误
• 发布时间： 2006-07-10
• 威胁类型： 远程
• 更新时间： 2006-10-16
• 厂        商： microsoft
• 漏洞来源： Nsfocus安全小组 securi...

漏洞简介

Microsoft Excel是非常流行的电子表格工具。

Microsoft Excel在处理文件中畸形COLINFO记录时存在缓冲区溢出漏洞，远程攻击者可能在用户机器上以当前用户权限执行任意指令。

Microsoft Excel在处理COLINFO记录的某些字段时未进行充分的检查, 因而在进行数据填充操作时可能触发缓冲区溢出，攻击者通过精心构造数据可能导致执行任意指令。攻击者可以创建包含畸形COLINFO记录的Excel文件并通过即时通讯工具或电子邮件等形式诱使用户打开，从而以该用户身份执行任意任意命令。如果该用户是管理员，则攻击者可以完全控制用户所在系统。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.microsoft.com/technet/security/Bulletin/MS06-059.mspx

参考网址

来源: VU#252500

名称: VU#252500

链接:http://www.kb.cert.org/vuls/id/252500

来源: MS

名称: MS06-059

链接:http://www.microsoft.com/technet/security/Bulletin/MS06-059.mspx

来源: BID

名称: 20391

链接:http://www.securityfocus.com/bid/20391

来源: HP

名称: HPSBST02161

链接:http://www.securityfocus.com/archive/1/archive/1/449179/100/0/threaded

来源: VUPEN

名称: ADV-2006-3978

链接:http://www.frsirt.com/english/advisories/2006/3978

来源: SECTRACK

名称: 1017031

链接:http://securitytracker.com/id?1017031

来源: oval:org.mitre.oval:def:486

名称: oval:org.mitre.oval:def:486

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:486

受影响实体

• Microsoft Excel_viewer:2003  
• Microsoft Excel:X:Mac_os_x  
• Microsoft Excel:2004:Mac_os_x  
• Microsoft Excel:2002  
• Microsoft Excel:2003  

补丁

暂无