漏洞起因
设计错误
危险等级
高
影响系统
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2004 for Mac
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office XP
Microsoft Open XML File Format Converter for Mac
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。
攻击所需条件
攻击者必须构建恶意word或者Excel文档,诱使用户解析。
漏洞信息
Microsoft Office是一款微软开发的流行的办公软件套件。
Microsoft Office存在多个安全漏洞,允许恶意攻击者以应用程序上下文执行任意代码。
CVE-2011-0107:
CNCVE ID:CNCVE-20110107
CNCVE-20110977
CNCVE-20110107
Office应用程序以不安全方式装载库,攻击者可以在远程WebDAV或SMB共享上放置恶意word文档,诱使用户解析,可装载恶意库。
CVE-2011-0977:
CNCVE ID:CNCVE-20110107
CNCVE-20110977
CNCVE-20110107
CNCVE-20110977
在解析Office文件中的图形对象时处理数据结构引用存在错误,攻击者可以构建恶意Excel文件,诱使用户解析,以应用程序上下文执行任意代码。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.microsoft.com/technet/security/Bulletin/MS11-023.mspx
漏洞提供者
Haifei Li & ZDI
漏洞消息链接
http://secunia.com/advisories/44015/
http://www.zerodayinitiative.com/advisories/ZDI-11-043
http://www.microsoft.com/technet/security/Bulletin/MS11-023.mspx
0 条评论。