MS03-036:WordPerfect 转换器中的缓冲区溢出可能允许代码执行

文章翻译 文章翻译
文章编号: 827103 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

通过 Microsoft Office 提供的转换器,用户可以导入和编辑使用非 Office 自有格式的文件。这些转换器作为 Office 默认安装的一部分提供;同时,您也可以通过 Microsoft Office 转换器包单独获取它们。这些转换器对那些在包含 Office 早期版本和其他程序(包括 Office 的 Macintosh 版本和第三方生产效率程序)的混合环境下使用 Office 的组织很有帮助。

Microsoft WordPerfect 转换器处理 Corel WordPerfect 文档的方式有一个缺陷。造成安全漏洞的原因是,当转换器打开 WordPerfect 文档时没有正确地验证某些参数,这导致出现一个未经检查的缓冲区。这样,攻击者可以创建恶意的 WordPerfect 文档;如果一个使用 WordPerfect 转换器的程序打开了该文档,它将使攻击者所选择的代码得以执行。Microsoft Word 和 Microsoft PowerPoint(Office 套件的组成部分)、FrontPage(作为 Office 套件的一部分提供或单独提供)、Publisher 以及 Microsoft Works Suite 都可以使用 Microsoft Office WordPerfect 转换器。

攻击者只有诱骗用户打开恶意的 WordPerfect 文档才能利用该漏洞。攻击者无法强制用户打开恶意文档,也无法在电子邮件中利用该漏洞自动触发攻击。
减轻影响的因素
  • 用户必须打开恶意文档,攻击才会得逞。攻击者无法强制文档自动打开。
  • 无法通过电子邮件自动利用此漏洞。用户必须打开电子邮件发送的附件,电子邮件攻击才会得逞。
  • 默认情况下,Microsoft Outlook Express 6.0 和 Microsoft Outlook 2002 阻止以编程方式访问通讯簿。此外,如果已经安装了 Outlook 电子邮件安全更新程序,Microsoft Outlook 98 和 Microsoft Outlook 2000 也阻止通过编程方式访问 Outlook 通讯簿。使用这些产品中任一产品的客户都不具有传播利用这一漏洞的电子邮件攻击的危险。

解决方案

安全修补程序信息

下载和安装信息

如果您使用以下任一程序:
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
请参见 Microsoft 知识库中的以下文章:
824938 Overview of the Office XP WordPerfect 5.x Converter Security Patch:September 3, 2003


如果您使用以下任一程序:
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
请参见 Microsoft 知识库中的以下文章:
824993 Overview of the Office 2000 WordPerfect 5.x Converter Security Patch:September 3, 2003


如果您在使用以下任一程序:
  • Microsoft Office 97
  • Microsoft Word for Windows 98(日文)
请参见 Microsoft 知识库中的以下文章以了解更多信息:
827656 Overview of the Office 97 WordPerfect 5.x Converter Security Patch:September 3, 2003


修补程序删除


无法删除此修补程序。

有关修补程序替代的信息


此修补程序不替代任何其他安全修补程序。

参考

有关这些漏洞的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS03-036.asp

属性

文章编号: 827103 - 最后修改: 2014年2月26日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Office XP 标准版
  • Microsoft Office 2000 标准版
  • Microsoft Office 97 标准版
  • Microsoft Word 98 标准版
  • Microsoft FrontPage 2002 标准版
  • Microsoft FrontPage 2000 标准版
  • Microsoft Publisher 2002 标准版
  • Microsoft Publisher 2000 标准版
  • Microsoft Works Suite 2003 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2001 标准版
关键字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com