漏洞信息详情
Microsoft Office CDO协议跨站脚本漏洞
- CNNVD编号:CNNVD-200810-257
- 危害等级: 中危
- CVE编号: CVE-2008-4020
- 漏洞类型: 跨站脚本
- 发布时间: 2008-10-15
- 威胁类型: 远程
- 更新时间: 2009-03-04
- 厂 商: microsoft
- 漏洞来源: NetAgent Co., Ltd.
漏洞简介
Microsoft Office是非常流行的办公软件套件。
Office的cdo:URI处理器没有正确地处理包含有Content-Disposition: attachment头的请求,用户跟随了恶意的链接,CDO协议处理器没有显示文件下载对话框而是在浏览器中呈现文件请求,这可能导致跨站脚本攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Microsoft Office XP SP3
Microsoft Security Update for Office XP (KB956464)
http://www.microsoft.com/downloads/details.aspx?familyid=b1aee2d5-bfa0 -40e3-91b6-98bf65524e8c&displaylang=en
参考网址
来源: US-CERT
名称: TA08-288A
链接:http://www.us-cert.gov/cas/techalerts/TA08-288A.HTML
来源: BID
名称: 31693
链接:http://www.securityfocus.com/bid/31693
来源: MS
名称: MS08-056
链接:http://www.microsoft.com/technet/security/Bulletin/MS08-056.mspx
来源: SECUNIA
名称: 32138
链接:http://secunia.com/advisories/32138
来源: XF
名称: win-ms08kb957699-update(45550)
链接:http://xforce.iss.net/xforce/xfdb/45550
来源: XF
名称: office-cdo-xss(45546)
链接:http://xforce.iss.net/xforce/xfdb/45546
来源: SECTRACK
名称: 1021045
链接:http://www.securitytracker.com/id?1021045
来源: VUPEN
名称: ADV-2008-2807
链接:http://www.frsirt.com/english/advisories/2008/2807
来源: OVAL
名称: oval:org.mitre.oval:def:5969
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5969
来源: HP
名称: SSRT080143
链接:http://marc.info/?l=bugtraq&m=122479227205998&w=2
来源: HP
名称: SSRT080143
链接:http://marc.info/?l=bugtraq&m=122479227205998&w=2
来源: JVNDB
名称: JVNDB-2008-000070
链接:http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000070.HTML
来源: JVN
名称: JVN#55410403
链接:http://jvn.jp/en/jp/JVN55410403/index.HTML
受影响实体
- Microsoft Office:Xp:Sp3
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论