Word及Excel中发现多处新的安全漏洞

Kafka

Word及Excel中发现多处新的安全漏洞
  2002-8-3   
  
  
日经BP社报道】日本微软于6月20日公开了在Microsoft Word及Microsoft Excel中发现的
4种新的安全漏洞。由于这些安全漏洞的存在，植入Office文件中的非法脚本程序及宏命令
有被执行的危险。侵害对象是Windows版的Excel 2000、Excel 2002及Word 2002。如果使
用日本微软发布补丁程序就可以避免受害。据该公司透露，安全漏洞的最大危害程度为“
中”。
  
  
　　新发现的安全漏洞有以下4种:  
  
　　(1)有关In-Line宏的安全漏洞
  
　　(2)有关从链接打开Excel工作薄时的处理的安全漏洞
  
　　(3)有关XSL样式表单的安全漏洞
  
　　(4)有关附加Word文件的HTML邮件的安全漏洞
  
　　(1)及(2)影响到Excel。用户如果点击工作薄内的链接(对象)，不进行宏的安全设置，
就可能存在被执行宏命令的危险。
  
　　(3)也是一种影响Excel的安全漏洞。在打开被植入脚节本程序的XSL样式表单的Excel
表单的情况下，将通过“本地计算机区域”的安全设定执行脚本程序。
  
　　本地计算机区域是一种执行普通程序的区域，与“因特网区域”等不同，几乎不存在
对执行的限制。而且，与因特网区域等不同，不能通过Internet Explorer的安全设置来改
变。
  
　　(4)是有关Word的安全漏洞。在安装Microsoft Access的环境下，存在着如果打开附加
Word文件的HTML邮件，将会被自动执行Word文件的宏命令的危险。这是此前公开的“MS00
-071”安全漏洞的“变种”。
  
　　这4种安全漏洞各自的危害程度除(2)为“低”之外，其余3种均为“中”。
  
　　此次发布的补丁程序是一种不仅针对以上4种安全漏洞，而且还是能够堵塞此前安全漏
洞的“累积补丁程序”。日本微软已经发布了“Microsoft Excel 2000 for Windows”、
“Microsoft Excel 2002 for Windows”及“Microsoft Word 2002 for Windows”的补丁
程序。
  
　　在补丁程序中备有“客户端修正程序”与“管理员修正程序”2种。普通用户使用客户
端修正程序就可以了。安装有“Office2000源工具包”或者“OfficeXP源工具包”的用户
需使用管理员修正程序。
  
　　另外，由于此次的安全漏洞是有关未标准安装于Windows中的应用软件的安全漏洞，所
以补丁程序不能适用于“Windows Update”。要想从“有关MS02-031的信息”上下载并应
用，必须先在“Office产品的升级”站点进行升级(不过，目前该站点尚未公开此次的补丁
程序)。