Word 域和 Excel 外部更新中的缺陷可能导致信息暴露

文章翻译 文章翻译
文章编号: 330008 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

Microsoft Word 和 Microsoft Excel 提供了一种机制,通过这种机制,可在一个文档中插入和更新另一个文档中的数据。这种机制在 Word 中称为域代码,在 Excel 中称为外部更新,它们可自动执行,从而为用户提供了方便。例如,Word 域代码可用于在法律文档中自动插入标准的免责声明段落。Excel 外部更新可用来通过使用一个电子表格中的数据自动更新另一个电子表格中的图表。

但是,可能会有人恶意使用域代码和外部更新来秘密窃取用户信息。某些特定事件可以触发外部更新和域代码的更新:例如,当用户保存文档或手动更新链接时。通常情况下,当这些更新发生时,用户能够知道。但是,可使用专门创建的域代码或外部更新来触发更新,而不对用户进行任何提示。这样,攻击者便可以创建一个文档,该文档在打开时会自动更新自身以包括用户本地计算机中某个文件的内容。

攻击者要想利用此漏洞,需要执行以下任务:
  1. 创建能够利用此漏洞的 Word 或 Excel 文档。
  2. 通过电子邮件或其他某种方法将该文档传送给用户。
  3. 诱使用户打开该文档。
然后,用户通常必须将该文档返回给攻击者,攻击才能成功发挥作用。

但是请注意,Microsoft 知道在一种情况下,用户甚至不必这样做,攻击就能成功。通过在此情况下使用的方法,攻击者的文档可以将信息直接张贴到网站(尽管只允许发送文件的第一行)。

解决方案

Word 2002

如果您使用的是 Word 2002,请应用 Word 2002 修补程序。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
329748 2002 年 10 月 16 日版 Word 2002 Service Pack 2 更新说明

Excel 2002

如果您使用的是 Excel 2002,请应用 Excel 2002 修补程序。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
329750 XL2002:“Excel 2002 SP-2 更新:2002 年 10 月 16 日”概述

Word 2000

如果您使用的是 Word 2000,请应用 Word 2000 修补程序。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
329749 WD2000:“Word 2000 SR-1 更新:2002 年 10 月 16 日”概述

Word 97 和日语版本的 Word 98 for Windows

如果您使用的是 Word 97 或日语版本的 Word 98 for Windows,请应用 Word 97 和日语版本的 Word 98 for Windows 修补程序。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
330080 WD97:Word 97 容易受到 MS02-059 中记载的安全问题的攻击

Word X for Mac、Word 2001 for Macintosh、Word 98 Macintosh Edition

有关如何获取 Macintosh 版本的 Microsoft Word 修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/mac/downloads.aspx?pid=security

状态

Microsoft 已经确认此问题可能导致本文“适用于”一节列出的 Microsoft 产品中存在某种程度的安全漏洞。

更多信息

有关这些漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/mac/downloads.aspx

属性

文章编号: 330008 - 最后修改: 2014年2月26日 - 修订: 6.4
这篇文章中的信息适用于:
  • Microsoft Excel 2002 标准版
  • Microsoft Word 2002 标准版
  • Microsoft Word 2000 标准版
  • Microsoft Word 97 标准版
  • Microsoft Word X for Macintosh
  • Microsoft Word 2001 for Mac
  • Microsoft Word 98 for Macintosh
  • Microsoft Word 98 标准版
关键字:?
kbnosurvey kbarchive kbfield kbqfe kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com