Microsoft Word 中的瑕疵可能會使巨集自動執行

文章翻譯 文章翻譯
文章編號: 827653 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

巨集是一系列的命令與指示,由您組織為單一命令,以自動完成工作。Microsoft Word 支援使用巨集來允許自動執行常用的工作。因為巨集是可能遭到錯誤使用的一種可執行程式碼,所以 Word 中包含一種特別設計的安全性模式,可以根據使用者所選擇的巨集安全性層級,驗證是否允許巨集執行。

因為攻擊者可以特意製作惡意的文件,能略過巨集安全性模式,所以這是程式的弱點。如果開啟了文件,不論所設定的巨集安全性層級為何,此瑕疵可能就會允許嵌於文件的惡意巨集自動執行。惡意的巨集可能會執行與使用者有權執行的動作相同,例如新增、變更、刪除資料或檔案、與網站通訊,或格式化硬碟。

只有當攻擊者說服使用者開啟惡意的文件時,這個弱點才會遭到利用。攻擊者無法強制開啟惡意的文件。

緩和因素
  • 使用者必須開啟惡意的文件,攻擊者的意圖才會成功。攻擊者無法強制自動開啟文件。
  • 透過電子郵件無法自動利用程式的弱點。使用者必須開啟電子郵件中的附加檔案,透過電子郵件夾帶的攻擊才會成功。
  • 根據預設,Microsoft Outlook Express 6.0 和 Microsoft Outlook 2002 會阻擋程式化存取「通訊錄」。此外,如果有安裝「Outlook 電子郵件安全性更新」的話,Microsoft Outlook 98 和 Microsoft Outlook 2000 也會阻擋程式化存取 Outlook 的「通訊錄」。使用這些產品的客戶,就不用擔心會傳播此透過電子郵件夾帶並嘗試利用此弱點的攻擊。
  • 這項弱點僅可能影響 Microsoft Word – 其他 Microsoft Office 家族成員的產品則不會受到影響。

解決方案

安全性補充程式資訊

下載及安裝資訊

Word 2002

如果您執行的是 Word 2002,請套用 Word 2002 補充程式。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824934 說明 Word 2002 安全性補充程式:2003 年 9 月 3 日


Word 2000

如果您執行的是 Word 2000,請套用 Word 2000 補充程式。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824936 說明 Word 2000 安全性補充程式:2003 年 9 月 3 日

Word 97 and Word for Windows 98 (日文版)


如果您執行的是 Word 97 或 Windows 98 日文版的 Word,請套用 Word 97 或 Windows 98 日文版 Word 的補充程式。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827647 「Word 97 安全性 Hotfix:2003 年 9 月 3 日」概觀

Works Suite

如果您執行的是 Microsoft Works Suite,則必須使用 Office 更新來偵測與安裝適當的補充程式。如果要檢視 Office 更新,請造訪下列 Microsoft 網站:
http://office.microsoft.com/zh-tw/officeupdate/default.aspx


移除資訊

您無法移除此補充程式。

補充程式取代資訊

此補充程式不會取代任何其他 Hotfix。

?考

如需有關這些弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-035.asp

屬性

文章編號: 827653 - 上次校閱: 2014年2月26日 - 版次: 2.4
這篇文章中的資訊適用於:
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
關鍵字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827653
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com