安全研究
安全漏洞
Microsoft Office XP/Internet Explorer OWC远程文件建立漏洞
发布日期:2002-07-30
更新日期:2002-08-09
受影响系统:Microsoft Internet Explorer 6.0
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Office XP
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
描述:
BUGTRAQ ID:
5359
Microsoft Office Web Components (OWC)是一套ActiveX对象,使用Spreadsheets、Charts、Pivot tables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICE XP下都默认安装。
Microsoft Office Web组件在处理.xls和.xla文件组合时存在问题,远程攻击者可以利用这个漏洞在目标用户系统中建立任意文件。
Microsoft Office Web组件之前存在漏洞,通过ms spreadsheet组件和它的Host()函数能在用户系统中建立文件,Microsoft已经推出补丁进行修补。但是通过.xls或者.xla文件与OWC的组合(.xla文件可以是以.xla为扩展名的.html文件),仍旧存在此漏洞,攻击者构建恶意WEB页面,并诱使用户点击,可导致写任意文件到目标用户系统上。
这个漏洞影响安装了OWC组件的系统,类似Bugtraq ID 4398所描述的漏洞。
<*链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=102805200215135&w=2
http://www.guninski.com/iexla.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 按照如下方法关闭"ActiveX控件和插件":
工具-->Internet选项-->安全-->对每个区域选择"自定义级别"-->设置"运行ActiveX控件和插件"为"禁用"。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/default.asp浏览次数:2887
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |