Microsoft Word 中的缺陷将使宏自动运行

文章翻译 文章翻译
文章编号: 827653 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

用户为了自动完成某个任务而将一系列命令和指令组织在一起形成的一个单独命令,就是宏。Microsoft Word 支持使用宏,从而使频繁执行的任务能够自动完成。由于宏是可执行的代码,所以用户可能会误用宏,为此,Word 提供了一个安全模式,目的是根据用户所选的宏安全的级别来验证是否允许运行宏。

造成漏洞的原因是,攻击者可以创建出恶意的文档,该文档将绕过宏安全模式。如果文档已经打开,无论宏安全设置为何种级别,该缺陷都会允许文档中嵌入的恶意宏自动执行。恶意宏可以执行用户有权执行的任何操作,例如,添加、更改和删除数据或文件,与网站进行通信,或者格式化硬盘。

攻击者只有诱骗用户打开恶意文档才能利用此漏洞。攻击者无法强制打开恶意文档。

减轻影响的因素
  • 用户必须打开恶意文档,攻击者才会得逞。攻击者无法强制文档自动打开。
  • 无法通过电子邮件自动利用此漏洞。用户必须打开电子邮件发送的附件,以电子邮件为载体的攻击才会得逞。
  • 默认情况下,Microsoft Outlook Express 6.0 和 Microsoft Outlook 2002 阻止以编程方式访问通讯簿。此外,如果已经安装了 Outlook 电子邮件安全更新,Microsoft Outlook 98 和 Microsoft Outlook 2000 也阻止通过编程方式访问 Outlook 通讯簿。使用这些产品中任一产品的客户都不具有传播以电子邮件为载体利用这一漏洞的攻击的危险。
  • 此漏洞只影响 Microsoft Word,Microsoft Office 系统的其他产品不受影响。

解决方案

安全修补程序信息

下载和安装信息

Word 2002

如果您运行的是 Word 2002,请应用 Word 2002 修补程序。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824934 2003 年 9 月 3 日版 Word 2002 安全修补程序说明


Word 2000

如果您运行的是 Word 2000,请应用 Word 2000 修补程序。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824936 2003 年 9 月 3 日版 Word 2000 安全修补程序说明

Word 97 和 Word for Windows 98(日文)


如果您运行的是 Word 97 或 Word for Windows 98 日文版,请应用 Word 97 或 Word for Windows 98 日文版修补程序。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827647 Word 97 安全修补程序概述:2003 年 9 月 3 日

Works Suite

如果您运行的是 Microsoft Works Suite,则应使用 Office Update 检测并安装适当的修补程序。要查看 Office Update,请访问下面的 Microsoft 网站:
http://www.office.microsoft.com/ProductUpdates/default.aspx


删除信息

无法删除该修补程序。

修补程序替换信息

此修补程序不替代任何其他修复程序。

参考

有关这些漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/bulletins/MS03-035.asp

属性

文章编号: 827653 - 最后修改: 2014年2月26日 - 修订: 2.4
这篇文章中的信息适用于:
  • Microsoft Word 2002 标准版
  • Microsoft Word 2000 标准版
  • Microsoft Word 98 标准版
  • Microsoft Word 97 标准版
  • Microsoft Works Suite 2001 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2003 标准版
关键字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827653
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com