发布日期：2006-08-08
更新日期：2006-08-09

受影响系统：

Microsoft Office XP
Microsoft Office 2000
Microsoft Visual Basic for Applications SDK 6.4
Microsoft Visual Basic for Applications SDK 6.3
Microsoft Visual Basic for Applications SDK 6.2
Microsoft Visual Basic for Applications SDK 6.0

描述：

---

BUGTRAQ  ID: 19414
CVE(CAN) ID: CVE-2006-3649

Microsoft Visual Basic for Applications（VBA）是用于开发客户端桌面所包装的应用程序并集成到现有数据和系统的开发技术。

VBA在处理包含畸形属性字段的文档时存在漏洞，攻击者可能利用此漏洞在用户机器上执行任意指令。

VBA在打开文档时会检查主机应用程序对其传送的某些文档属性，因此主机应用程序就可能向VBA传送未检查的参数。如果攻击者能够诱骗用户打开设置了特殊属性的文档的话，就可能触发缓冲区溢出，导致执行任意代码。

<*来源：Ka Chun Leung
  
  链接：http://www.microsoft.com/technet/security/bulletin/ms06-048.mspx
        http://www.us-cert.gov/cas/techalerts/TA06-220A.html
*>

建议：

---

临时解决方法：

* 不要打开不可信任来源接收到的Microsoft Office文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS06-048）以及相应补丁:
MS06-048：Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)
链接：http://www.microsoft.com/technet/security/bulletin/ms06-048.mspx

浏览次数：3262
严重程度：0（网友投票）