受影响系统:
Microsoft Excel 2010
Microsoft Excel 2007
Microsoft Excel 2003
Microsoft Office Compatibility Pack 2007 SP2
Microsoft Office Compatibility Pack 2007 SP1
Microsoft Office Compatibility Pack 2007 0
Microsoft Office 2011 for Mac SP1
Microsoft Office 2011 for Mac 0
Microsoft Office 2008 for Mac 0
Microsoft Office 2004 for Mac 0
Microsoft Open XML File Format Converter for Mac
描述:
BUGTRAQ ID: 49477
CVE(CAN) ID: CVE-2011-1987
Microsoft Excel是由Microsoft为Windows和Apple Macintosh操作系统的电脑而编写和运行的一款试算表软件。
1.Microsoft Excel在处理特制Excel文件时存在远程代码执行漏洞,远程攻击者可利用此漏洞以当前用户权限执行任意代码,可能造成拒绝服务。
此漏洞属于整数签名问题,可导致无效数组索引,可由带负iax字段的某些记录触发。传递的负16位值稍后符号扩展到32位,然后用作堆数组的索引。由于对iax字段验证不全,可能在数组之外索引,这会导致以用户数据覆盖任意内存位置,执行任意任意代码。
2.Microsoft Excel在处理畸形记录时存在远程代码执行漏洞,远程攻击者可利用此漏洞以当前用户权限执行任意代码。
Excel解析电子表格文件中的特制记录时,其中的特定值可触发内存破坏漏洞。
建议:
厂商补丁:
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS11-073)以及相应补丁:
MS11-073:Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2587505)
链接:http://www.microsoft.com/technet/security/bulletin/MS11-072.mspx
0 条评论。