MS03-036: Переполнение буфера в конвертере WordPerfect может допустить запуск кода

Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Проблема
С помощью конвертеров, предоставляемых Microsoft Office, пользователи могут импортировать и редактировать файлы, которые используют «неродной» для приложения Office формат. Эти конвертеры прилагаются по умолчанию как часть установки Office, а также отдельно в пакете Microsoft Office Converter Pack. Эти конвертеры могут быть полезны организациям, которые используют Office в смешанной среде с более ранними версиями Office и другими программами, включая Office для Macintosh и сторонние рабочие программы.

В процедуре обработки конвертером Microsoft WordPerfect документов Corel WordPerfect имеется дефект. Уязвимость защиты объясняется тем, что конвертер неправильно проверяет определенные параметры при открытии документа WordPerfect, что приводит к неограниченному буферу. Таким образом, злоумышленник может создать враждебный документ WordPerfect, который может допустить запуск любого кода, если программа, использующая конвертер WordPerfect, откроет документ. Приложения Microsoft Word и Microsoft PowerPoint (являются частью пакета Office), FrontPage (доступно как приложение пакета Office или отдельно), Publisher и набор Microsoft Works Suite — все могут использовать конвертер Microsoft Office WordPerfect.

Документ, созданный злоумышленником, представляет опасность только в том случае, если злоумышленнику удастся убедить пользователя открыть враждебный документ WordPerfect. Злоумышленник не может заставить пользователя открыть враждебный документ; он также не может использовать это уязвимое место, чтобы автоматически привести в действие враждебный документ через электронную почту.
Факторы, снижающие опасность
  • Действия злоумышленника будут успешными, только если пользователь откроет враждебный документ. Злоумышленник не может заставить документ открываться автоматически.
  • Документ не может быть автоматически открыт через электронную почту. Пользователь должен открыть вложенный файл, посланный через электронную почту, чтобы атака представляла угрозу.
  • По умолчанию Microsoft Outlook Express 6.0 и Microsoft Outlook 2002 блокируют программируемый доступ к своим адресным книгам. Кроме того, Microsoft Outlook 98 и Microsoft Outlook 2000 блокируют программируемый доступ к адресной книге Outlook, если установлен пакет обновления безопасности электронной почты Outlook E-Mail Security Update. Пользователям этих продуктов не угрожает опасность, связанная с рассылкой враждебных электронных писем.
Решение

Сведения об исправлениях безопасности

Сведения о загрузке и установке

При использовании следующих программ
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
обратитесь к следующей статье Microsoft Knowledge Base:
824938 Обзор исправления безопасности для конвертера WordPerfect 5.x из пакета Office XP: 3 сентября 2003 г.


При использовании следующих программ
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
обратитесь к следующей статье Microsoft Knowledge Base:
824993 Обзор исправления безопасности для конвертера WordPerfect 5.x из пакета Office 2000: 3 сентября 2003 г.


При работе с одной из следующих программ
  • Microsoft Office 97
  • Microsoft Word для Windows 98 (японская версия)
за дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
827656 Обзор исправления безопасности для конвертера WordPerfect 5.x из пакета Office 97: 3 сентября 2003 г.


Удаление исправления


Данное исправление удалить невозможно.

Сведения о замене исправлений


Это исправление не заменяет других исправлений.
Ссылки
Более подробную информацию об этой уязвимости см. на веб-узле корпорации Microsoft по адресу:
Свойства

Номер статьи: 827103 — последний просмотр: 02/21/2014 00:46:41 — редакция: 3.1

  • Microsoft Office XP Standard Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft FrontPage 2002 Standard Edition
  • Microsoft FrontPage 2000 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Publisher 2000 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
Отзывы и предложения