安全研究

安全漏洞
Office Jet 漏洞

发布日期:1999-08-23
更新日期:1999-10-01

受影响系统:
- Microsoft Jet, all versions
描述:
Updated Patch Available for Office "ODBC Vulnerabilities

日期 : 1999/8/23, 10/1

分类 : Microsoft
来源参考 : Microsoft Security Bulletin

-- 简述---------------------------------------------------------------
Microsoft 提供编号 MS99-30 安全建议文件的相关修正程序,终止该文件先前提到的一项安全性漏洞。

-- 说明---------------------------------------------------------------
1. Jet 是一个在 Microsoft Office 97 及 Office 2000 程序里面所使用的资料库
引擎。先前发现在 Jet 里面有两个安全漏洞:
o "VBA Shell" 安全性漏洞:这个问题存在於所有版本的 Jet,除了 Jet 4.0 以外
。主要是在处理资料库查询的时候,可以将作业系统的命令包含在查询指令中一
起执行。影响范围是除了 Office 2000 以外的所有 Office 程序产品,另外对
Office 2000 里面某一部份程序:Access 2000 亦有影响。
o "Text I-ISAM" 安全性漏洞:这个问题存在於所有版本的 Jet。主要是因为 Jet
提供方便的方法让使用者更改文字挡的内容,然而有心的使用者也可以利用这个
方法在查询资料库时修改系统档案。影响范围是所有的 Office 程序产品。
2. 有关 MS99-30 安全建议,可以参考以下网址:

http://www.microsoft.com/security/bulletins/MS99-030faq.asp

-- 影响平台 ----------------------------------------------------------
- Microsoft Jet, all versions

注意:Jet 使用在许多 Microsoft 产品上当作资料库引擎,目前已知的就有:
- Microsoft Office
- Microsoft Visual Studio
- Microsoft Publisher
- Microsoft Streets & Trips

其他还有许多公司利用 Microsoft 的函式库开发程序,写成应用程序,所以应该也
会受到影响。目前并不需要针对这些应用程序作相关更正,因为 Microsoft 所提供
的修正程序是直接针对 Jet 资料库引擎作修正。



建议:
-- 修正方式 ----------------------------------------------------------
修正程序可以在以下网址取得:

http://officeupdate.microsoft.com/articles/mdac_typ.htm

注意:

1. 该网页上所提供的修正程序有分成 Office 97 跟 Office 2000 两种版本的修正
程序,事实上是同一个程序。修正程序会自动侦测使用者电脑内部所使用的 Jet
版本为何,自动做出修正。最低版本的限制是 Jet 3.5,在 Jet 3.5 以前(不含)
的旧版资料库引擎,Microsoft 已经不作任何技术支援。
2. 此修正程序适用所有语系的 Office 程序产品。

-- 影响结果-----------------------------------------------------------
使用者可存取系统档案及使用系统命令。

浏览次数:11278
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障