发布日期：2003-09-02
更新日期：2003-09-05

受影响系统：

Microsoft FrontPage 2002
Microsoft FrontPage 2000
Microsoft Office 97
Microsoft Office 2000
Microsoft Publisher 2002
Microsoft Publisher 2000
Microsoft Works Suite 2003
Microsoft Works Suite 2002
Microsoft Works Suite 2001
Microsoft Office XP
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3

描述：

---

CVE(CAN) ID: CVE-2003-0666

Microsoft Office提供多个转换器允许用户导入和编辑原来不属于Office格式的文件。这些转换器是Office默认安装的一部分，也可以独立存在于Microsoft Office Converter Pack中，这些转换器可以方便的应用于Office早期版本和其他应用系统复杂的环境中，包括Macintosh和第三方应用程序。

Microsoft WordPerfect转换器打开文档时未能正确验证部分参数，远程攻击者可以利用这个漏洞构建恶意WordPerfect文档，诱使用户打开，可触发缓冲区溢出。

当解析WordPerfect文件时，WordPerfect转换器拷贝.doc文件中的数据存储在本地缓冲区中，如果修改.doc文件中的部分字节，就可以指定数据偏移和数据大小，WordPerfect转换器由于没有正确检查包含在.doc文件中的数据大小，拷贝文件中数据到本地缓冲区中时，可导致缓冲区溢出，精心构建恶意WordPerfect文件数据，诱使用户打开，可能以用户权限在系统上执行任意指令。

<*来源：Marc Maiffret （marc@eeye.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106261952827573&w=2
        http://www.microsoft.com/technet/security/bulletin/MS03-036.asp
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Marc Maiffret （marc@eeye.com）提供了如下测试方法：

可以构建如下文档：

1，打开Word，并以wordPerfect 5.0文件保存空文档。
2，使用编辑器打开.doc文档，显示如下信息：

ADDRESS 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
0123456789ABCDEF
----------------------------------------------------------------------------
--
00000000 FF 57 50 43 6D 02 00 00 01 0A 00 00 00 00 00 00
.WPCm...........
  ...
00000130 00 00 00 00 CD 01 00 00 08 00 02 00 00 00 CD 01
................
  ...
000001C0 61 75 74 68 6F 72 00 65 45 79 65 00 00 00 00 FB
author.eEye.....
000001D0 FF 05 00 32 00 00 00 00 00 01 01 6C 00 00 00 01
...2.......l....
000001E0 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................
000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................

3，在0x00000139偏移中修改0x00为0x01。
4，在0x000001D8偏移中修改0x00，大于0x80。
5，在0x000001E1到0x000001FF偏移中修改0x00，大于0x01。
6，在文件最后追加垃圾数据。

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-036）以及相应补丁:
MS03-036：Buffer Overrun in WordPerfect Converter Could Allow Code Execution(827103)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-036.asp

补丁下载：

Office XP, FrontPage 2002, Publisher 2002, Works 2002, and Works 2003:

http://microsoft.com/downloads/details.aspx?FamilyId=EC563DEE-6BFB-431D-B39E-2D672C0C223F&displaylang=en

Office 2000, FrontPage 2000, Publisher 2000, and Works 2001:

http://microsoft.com/downloads/details.aspx?FamilyId=D3ED4189-315A-411A-A739-F7181310FBA7&displaylang=en

Office 97 and Word 98(J): 要了解怎样获取Word 97和Word 98(J)信息可参看如下Microsoft Knowledge Base article:
http://support.microsoft.com/default.aspx?scid=kb;en-us;827656

Microsoft建议用户访问Office更新站点http://www.office.microsoft.com/ProductUpdates/default.aspx来检测和安装安全补丁。

浏览次数：4238
严重程度：0（网友投票）