| Office XP的Web功能存在多个安全漏洞 |
 |
|
|
2002-08-26 14:20
|
| |
【日经BP社报道】日本微软(总部:东京涩谷区)于2002年8月22日宣布,Office2000/XP等中嵌入的Web页面协作功能“Office Web Components(OWC)”中存在多个安全漏洞。如果这些安全漏洞被恶意使用,那么攻击者就可能远程执行OS命令。该公司已经公布了补丁程序。另外,该补丁程序已包含于本月21日公布的“Office XP Service Pack2”中。
存在安全漏洞的Office Web Components是一种将Office文件作为Web页面的一部分进行公布的功能。比如,可以将Excel工作表单作为Web页面的一部分进行公布,在Web页面中进行各种统计处理及运算处理,还可以进行绘图处理等。使用上述嵌入Office Web Components的软件的用户,在利用IE显示恶意使用Office Web Components的Web站点,或接收并显示同样的HTML邮件时,就有可能受到利用该安全漏洞的攻击。
Office Web Components由ActiveX控件(软件组件)构成。安全漏洞就存在于安装了这个ActiveX控件的制表软件的“HOST函数”和操作ActiveX控件的方法中。如果恶意使用HOST函数,那么攻击者就有可能起动用户的Office应用程序,或执行OS命令。安全漏洞存在于“LoadText”、“Copy”和“Paste”三个函数中。如果恶意使用LoadText,攻击者就能够读取已知路径和文件名的用户的任意文件。如果恶意使用Copy和Paste,即使用户在IE的安全设置中将“允许通过脚本进行粘贴操作”设为无效,用户进行拷贝或剪切的文本也存在被攻击者读取的危险。
包含这些安全漏洞的软件包括Microsoft BackOffice Server2000、Microsoft BizTalk Server2000/2002、Microsoft Commerce Server2000/2002、Microsoft Internet Security and Acceleration Server2000、Microsoft Money2002/2003、Microsoft Office2000/XP、Microsoft Project2002、Microsoft Project Server2002和Microsoft Small Business Server2000。该公司希望软件用户一定安装补丁程序。
另外,包含于Office Web Components中的这些安全漏洞是2002年2月~3月被发现的,是由以色列的GreyMagic Software公司于4月份报告的。(记者:武部健一)
|
| |
|
|
|
