漏洞信息详情
Microsoft Word畸形数据串远程任意指令执行漏洞
- CNNVD编号:CNNVD-200610-108
- 危害等级: 中危
- CVE编号: CVE-2006-3647
- 漏洞类型: 数字错误
- 发布时间: 2006-10-10
- 威胁类型: 远程
- 更新时间: 2006-10-18
- 厂 商: microsoft
- 漏洞来源: Chen Xiaobo※ avert...
漏洞简介
Microsoft Word是非常流行的文字处理办公软件。
Microsfot Word的实现上存在漏洞,远程攻击者可能利用此漏洞在用户机器上以当前用户的权限执行任意指令。
当Word解析包含有畸形数据串的文件时,攻击者可能利用此漏洞。此类特制文件可能包括在电子邮件附件中或恶意网站上。在Outlook中查看或预览畸形的电子邮件不会导致利用此漏洞。如果用户使用管理用户身份登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
临时解决方法:
* 不要打开或保存从不受信任来源收到的Microsoft Word文件。
Microsoft已经为此发布了一个安全公告(MS06-060)以及相应补丁:
MS06-060:Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)
链接:
http://www.microsoft.com/technet/security/Bulletin/MS06-060.mspx
参考网址
来源: MS
名称: MS06-060
链接:http://www.microsoft.com/technet/security/Bulletin/MS06-060.mspx
来源: BID
名称: 20341
链接:http://www.securityfocus.com/bid/20341
来源: HP
名称: SSRT061264
链接:http://www.securityfocus.com/archive/1/archive/1/449179/100/0/threaded
来源: BUGTRAQ
名称: 20061011 MS06-060 Microsoft Word Memmove Code Execution
链接:http://www.securityfocus.com/archive/1/archive/1/448417/100/0/threaded
来源: OSVDB
名称: 29440
链接:http://www.osvdb.org/29440
来源: VUPEN
名称: ADV-2006-3979
链接:http://www.frsirt.com/english/advisories/2006/3979
来源: SECTRACK
名称: 1017032
链接:http://securitytracker.com/id?1017032
来源: FULLDISC
名称: 20061011 MS06-060 Microsoft Word Memmove Code Execution
链接:http://archives.neohapsis.com/archives/fulldisclosure/2006-10/0211.HTML
来源: oval:org.mitre.oval:def:4
名称: oval:org.mitre.oval:def:4
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:4
受影响实体
- Microsoft Office:V.X
- Microsoft Office:2004:~~~Mac_os_x~~
- Microsoft Office:2003:Sp3
- Microsoft Office:2003:Sp2
- Microsoft Office:2003:Sp1
补丁
暂无
评论