漏洞信息详情
Microsoft Word/Excel 远程任意代码可执行漏洞(MS03-050)
- CNNVD编号:CNNVD-200312-040
- 危害等级: 高危
- CVE编号: CVE-2003-0821
- 漏洞类型: 其他
- 发布时间: 2003-11-11
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: microsoft
- 漏洞来源: Microsoft Security...
漏洞简介
Microsoft Word和Excel是流行的文字编辑软件。 Microsoft Word和Excel对宏处理存在安全问题,远程攻击者可以利用这个漏洞构建恶意文档,诱使用户访问,以用户权限增加、更改、删除文件数据、与WEB站点交互或格式化驱动盘。 - 在Microsoft Excel存在安全漏洞可允许恶意代码执行。Excel在读取宏指令前检查数据表的时存在问题。如果成功利用这个漏洞。攻击者可以构建恶意文件绕过宏安全模型。如果恶意数据表被打开,这个漏洞就允许嵌入文件的宏自动被执行,而无视宏安全是否设置。恶意宏可以以用户权限增加,更改或删除文件数据,或与WEB站点交互或格式化驱动盘。 - Microsoft Word存在一个安全漏洞允许恶意代码被执行。问题存在于Word在检查嵌入到文档中的宏名称数据长度时缺少正确的边界缓冲区检查,如果构建恶意文档可导致在Word中溢出数据值,并允许执行任意代码,如果成功,攻击者可以以用户权限增加,更改或删除文件数据,或与WEB站点交互或格式化驱动盘。
漏洞公告
厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS03-050)以及相应补丁:
MS03-050:Vulnerability in Microsoft Word and Microsoft Excel Could Allow Arbitrary Code to Run (831527)
链接: http://www.microsoft.com/technet/security/bulletin/MS03-050.asp
补丁下载:
Microsoft Excel 97
http://www.microsoft.com/downloads/details.aspx?FamilyId=927F8F0C-DB5A-4601-A628-2C3A1ED5D51B&displaylang=en
Microsoft Excel 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=9904B2A6-0CF0-4CF2-AAE0-062BDD7417D5&displaylang=en
Microsoft Excel 2002
http://www.microsoft.com/downloads/details.aspx?FamilyId=FAB7259D-80B2-40E6-A235-581617287560&displaylang=en
Microsoft Word 97
http://www.microsoft.com/downloads/details.aspx?FamilyId=5261EF7F-CC89-403C-949F-5F423E68C7AF&displaylang=en
Microsoft Word 98(J)
http://www.microsoft.com/downloads/details.aspx?FamilyId=75B9C39D-E6BD-4CE4-BD89-6F7B5AF2BDB1&displaylang=ja
Microsoft Word 2000 and Microsoft Works Suite 2001
http://www.microsoft.com/downloads/details.aspx?FamilyId=D2BD626E-401B-4FC7-BBAC-2C6B6E66D984&displaylang=en
Microsoft Word 2002, Microsoft Works Suite 2002, Microsoft Works Suite 2003, and Microsoft Works Suite 2004
http://www.microsoft.com/downloads/details.aspx?FamilyId=B9B4E491-0B33-423A-8FEE-27059A29B604&displaylang=en
参考网址
来源: XF 名称: excel-macro-execute-code (13681) 链接:http://xforce.iss.net/xforce/xfdb/13681 来源: MS 名称: MS03-050 链接:http://www.microsoft.com/technet/security/bulletin/ms03-050.asp 来源: BID 名称: 9010 链接:http://www.securityfocus.com/bid/9010 来源: US Government Resource: oval:org.mitre.oval:def:695 名称: oval:org.mitre.oval:def:695 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:695 来源: US Government Resource: oval:org.mitre.oval:def:675 名称: oval:org.mitre.oval:def:675 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:675 来源: US Government Resource: oval:org.mitre.oval:def:636 名称: oval:org.mitre.oval:def:636 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:636
受影响实体
- Microsoft Word:98:Ko
- Microsoft Word:98
- Microsoft Word:98:Ja
- Microsoft Word:97:Sr2
- Microsoft Word:97:Ko
补丁
暂无
评论