MS03-036: Przekroczenie buforu w konwerterze plików WordPerfect może umożliwić wykonanie kodu

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Symptomy
Dzięki konwerterom dostarczonym w pakiecie Microsoft Office można importować i edytować pliki w formatach innych niż macierzysty format pakietu Office. Konwertery te stanowią część domyślnej instalacji pakietu Office i są również dostępne oddzielnie w pakiecie Microsoft Office Converter Pack. Mogą być one przydatne w organizacjach, w których pakiet Office jest używany w środowisku mieszanym ze starszymi wersjami pakietu Office i innymi programami, w tym wersją pakietu Office dla komputerów Macintosh i programami biurowymi innych firm.

Istnieje luka w sposobie obsługi dokumentów programu Corel WordPerfect przez konwerter plików WordPerfect firmy Microsoft. Luka w zabezpieczeniach występuje, ponieważ w trakcie otwierania dokumentu programu WordPerfect konwerter nieprawidłowo sprawdza poprawność pewnych parametrów. W efekcie powstaje niesprawdzony bufor. Osoba atakująca może przygotować złośliwy dokument programu WordPerfect, który, o ile zostanie otwarty w programie korzystającym z konwertera plików WordPerfect, umożliwi wykonanie dowolnego kodu. Z konwertera plików WordPerfect dla pakietu Microsoft Office mogą korzystać programy Microsoft Word i Microsoft PowerPoint (które są częścią pakietu Office), program FrontPage (który jest dostępny zarówno w pakiecie Office, jak i osobno), program Publisher i pakiet Microsoft Works.

Tę lukę może wykorzystać tylko osoba atakująca, która nakłoni użytkownika do otwarcia złośliwego dokumentu programu WordPerfect. Osoba atakująca nie może zmusić użytkownika do otwarcia złośliwego dokumentu ani wykorzystać tej luki do przeprowadzenia automatycznego ataku przy użyciu wiadomości e-mail.
Czynniki osłabiające
 • Aby atak zakończył się powodzeniem, użytkownik musi otworzyć złośliwy dokument. Osoba atakująca nie może wymusić automatycznego otwarcia dokumentu.
 • Tej luki nie można wykorzystać automatycznie przy użyciu poczty e-mail. Aby atak zakończył się powodzeniem, użytkownik musi otworzyć załącznik do odebranej wiadomości e-mail.
 • Programy Microsoft Outlook Express 6.0 i Microsoft Outlook 2002 domyślnie blokują dostęp programowy do Książek adresowych. Ponadto, jeśli zainstalowano Aktualizację zabezpieczeń poczty e-mail programu Outlook, programy Microsoft Outlook 98 i Microsoft Outlook 2000 blokują dostęp programowy do Książki adresowej programu. Klienci używający jednego ze wspomnianych produktów nie są narażeni na atak przy użyciu poczty e-mail, będący próbą wykorzystania tej luki.
Rozwiązanie

Informacje o poprawce zabezpieczeń

Informacje o pobieraniu i instalacji

Użytkownicy jednego z następujących programów:
 • Microsoft Office XP
 • Microsoft FrontPage 2002
 • Microsoft Publisher 2002
 • Microsoft Works 2003
 • Microsoft Works 2002
powinni zapoznać się z następującym artykułem z bazy wiedzy Microsoft Knowledge Base:
824938 Omówienie poprawki zabezpieczeń konwertera plików WordPerfect 5.x pakietu Office XP z 3 września 2003


Użytkownicy jednego z następujących programów:
 • Microsoft Office 2000
 • Microsoft FrontPage 2000
 • Microsoft Publisher 2000
 • Microsoft Works 2001
powinni zapoznać się z następującym artykułem z bazy wiedzy Microsoft Knowledge Base:
824993 Omówienie poprawki zabezpieczeń konwertera plików WordPerfect 5.x pakietu Office 2000 z 3 września 2003


Użytkownicy jednego z następujących programów:
 • Microsoft Office 97
 • Microsoft Word dla systemu Windows 98 (wersja japońska)
powinni zapoznać się z następującym artykułem z bazy wiedzy Microsoft Knowledge Base, aby uzyskać więcej informacji:
827656 Omówienie poprawki zabezpieczeń konwertera plików programu WordPerfect 5.x pakietu Office 97: 3 września 2003


Usuwanie poprawki


Tej poprawki nie można usunąć.

Informacje dotyczące zastępowania poprawek


Ta poprawka nie zastępuje żadnych innych poprawek zabezpieczeń.
Materiały referencyjne
Aby uzyskać więcej informacji dotyczących tych luk, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 827103 — ostatni przegląd: 02/27/2014 05:28:56 — zmiana: 3.2

 • Microsoft Office XP Standard Edition
 • Microsoft Office 2000 Standard Edition
 • Microsoft Office 97 Standard Edition
 • Microsoft Word 98 Standard Edition
 • Microsoft FrontPage 2002 Standard Edition
 • Microsoft FrontPage 2000 Standard Edition
 • Microsoft Publisher 2002 Standard Edition
 • Microsoft Publisher 2000 Standard Edition
 • Microsoft Works Suite 2003 Standard Edition
 • Microsoft Works Suite 2002 Standard Edition
 • Microsoft Works Suite 2001 Standard Edition
 • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
Opinia