Word 功能變數和 Excel 外部更新中的瑕疵可能造成資訊洩露

文章翻譯 文章翻譯
文章編號: 330008 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft Word 和 Microsoft Excel 提供一種機制,可以讓您將一個文件的資料插入另一個文件中,並進行更新。此機制 (也就是 Word 中的功能變數代碼,和 Excel 中的外部更新) 可以讓使用者輕鬆地進行自動化。例如,您可以使用 Word 功能變數代碼,在法律文件中自動插入標準的免責聲明內容。Excel 外部更新可以使用其他試算表的資料,自動更新試算表中的圖表。

然而,惡意的使用者可能會利用功能變數代碼和外部更新,來竊取使用者的資訊。特定事件會觸發外部更新和功能變數代碼進行更新:例如,使用者儲存文件或手動更新連結。通常,使用者會知悉這些更新的進行。但是,特別製作的功能變數代碼和外部更新,可能會在不通知使用者的情況下,觸發更新程式。這讓攻擊者可以建立文件,並在文件開啟時自行更新,將使用者本機電腦中的檔案內容加入文件中。

攻擊者如果要利用此弱點,就必須:
  1. 建立可以不當利用此弱點的 Word 或 Excel 文件。
  2. 透過電子郵件或其他方法,將文件傳遞給使用者。
  3. 引誘使用者開啟文件。
一般來說,接下來使用者必須將文件傳回給攻擊者,攻擊者才能成功利用此弱點。

然而要注意的是,Microsoft 發現在某種情形下,使用者甚至不必傳回文件,攻擊者就能利用此弱點。在此情況中,攻擊者的文件可以直接在網站上公佈資訊,不過只能傳送檔案的第一行。

解決方案

Word 2002

如果您使用的是 Word 2002,請套用 Word 2002 補充程式。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
329748 Description of the Word 2002 Service Pack 2 update: October 16, 2002

Excel 2002

如果您使用的是 Excel 2002,請套用 Excel 2002 補充程式。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
329750 XL2002:Overview of Excel 2002 SP-2 Update:October 16, 2002

Word 2000

如果您使用的是 Word 2000,請套用 Word 2000 補充程式。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
329749 WD2000:Description of the Word 2000 SR-1 update:October 16, 2002

Word 97 和日文版 Windows Word 98

如果您使用的是 Word 97 或日文版 Windows Word 98,請套用 Word 97 和日文版 Windows Word 98 補充程式。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
330080 WD97:Word 97 Is Vulnerable to Security Issues That Are Documented in MS02-059

Word X for Mac、Word 2001 for Macintosh、Word 98 Macintosh Edition

如需有關如何取得 Macintosh 版 Microsoft Word 補充程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/mac/downloads.aspx?pid=security

狀況說明

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品中造成一定程度的安全性弱點。

其他相關資訊

如需有關這些弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/mac/downloads.aspx

屬性

文章編號: 330008 - 上次校閱: 2014年2月27日 - 版次: 6.4
這篇文章中的資訊適用於:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X for Macintosh
  • Microsoft Word 2001 for Mac
  • Microsoft Word 98 for Macintosh
  • Microsoft Word 98 Standard Edition
關鍵字:?
kbnosurvey kbarchive kbfield kbqfe kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com