MS02-031:Microsoft Excel 和 Microsoft Word 的累积修补程序(2002 年 6 月 19 日)

本文已归档。它按“原样”提供,并且不再更新。
症状
Microsoft 已经为 Excel 2002、Excel 2000 和 Word 2002 发布了更新,这些更新应用了以前针对这些产品发布的所有更新。另外,这些更新消除了四个新发现的漏洞:
  • 一个 Excel 宏执行漏洞,它与如何处理与对象关联的嵌入的宏相关。由于存在此漏洞,当用户单击工作簿中的某个对象时,可以执行宏并绕过宏安全模式。
  • 一个 Excel 宏执行漏洞,它与在通过绘图形状上的超级链接打开工作簿时如何处理这些工作簿中的宏相关。以此方式打开的工作簿中的宏会自动运行。
  • 一个 HTML 脚本执行漏洞;如果打开带有 XSL 样式表(包含 HTML 脚本)的 Excel 工作簿,可能会出现此漏洞。XSL 样式表中的脚本可以在本地计算机区域中运行。
  • 在 MS00-071 中首次得到解决的“Word 邮件合并”漏洞的一个新变体。如果用户在系统上安装了 Microsoft Access,并选择打开已保存为 HTML 格式的邮件合并文档,则此新变体可以使攻击者的宏代码自动运行。
减轻影响的因素

Excel 嵌入的宏的漏洞:
  • 利用此漏洞的成功攻击将需要用户接受并打开攻击者提供的工作簿。
  • 另外,用户必须单击工作簿中的某个对象。
  • 没有方法可以使利用此漏洞的攻击自动进行。
超级链接的 Excel 工作簿宏绕过安全模式:
  • 利用此漏洞的成功攻击将需要用户接受并打开攻击者的工作簿。
  • 另外,用户必须单击包含超级链接的绘图形状。
  • 攻击者的目标工作簿必须在本地计算机上或可访问的网络位置上可供用户访问。
Excel XSL 样式表脚本执行:
  • 用户必须接受并打开攻击者的工作簿才能利用此漏洞。
  • 另外,用户必须通过选择非默认的选项来确认安全警告。
MS00-071 的变体,Word 邮件合并漏洞:
  • Word 邮件合并文档必须保存为 HTML 格式。由于 Word 并非 HTML 应用程序的默认处理程序,用户必须选择在 Word 中打开文档,或者确认安全警告。
  • 成功的攻击需要将 Microsoft Access 安装在本地。
  • 攻击者的数据源必须可供用户通过网络访问。
解决方案

Excel 2002

此公用更新是 Microsoft Office XP Service Pack 2 (SP-2) 的一部分,但为了方便用户,我们还单独提供了此公用更新。如果已应用了 Office XP SP-2,则无需应用此公用更新。 有关更多信息,请单击下面有关最新 Microsoft Office XP Service Pack 的文章编号,以查看 Microsoft 知识库中有关最新 Microsoft Office XP Service Pack 的文章:
307841如何获取最新的 Office XP Service Pack
有关此公用更新的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323548Excel 2002 更新程序:2002 年 6 月 19 日版概述
此修复程序的英文版具有下表中列出的文件属性(或更新的属性):
版本           文件名     ----------------------10.0.4109.0  Excel.exe				
返回页首

Excel 2000

针对此问题的更新包含在“Excel 2000 SR-1 更新:2002 年 6 月 19 日版”中。 有关如何获取和安装此更新的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
324126Excel 2000 SR-1 更新程序:2002 年 6 月 19 日版概述
此修复程序的英文版具有下表中列出的文件属性(或更新的属性):
版本           文件名-------------------9.0.6508     Excel.exe				
返回页首

Word 2002

此公用更新是 Microsoft Office XP Service Pack 2 (SP-2) 的一部分,但为了方便用户,我们还单独提供了此公用更新。如果已应用了 Office XP SP-2,则无需应用此公用更新。 有关最新的 Microsoft Office XP Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307841如何获取最新的 Office XP Service Pack
有关此公用更新的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323547Word 2002 更新程序:2002 年 6 月 19 日版概述
此修复程序的英文版具有下表中列出的文件属性(或更新的属性):
版本           文件名     ----------------------10.0.4109    Winword.exe				
状态

Excel 2000

Microsoft 已确认此问题可能导致本文开头列出的 Microsoft 产品中出现一定程度的安全漏洞。

Excel 2002 和 Word 2002

Microsoft 已经确认这是在“适用于”一节中列出的 Microsoft 产品中存在的问题。 此问题最早在 Microsoft Office XP Service Pack 2 (SP-2) 中得到了解决。
更多信息
有关此漏洞的更多信息,请访问下面的 Microsoft 网站:
security_patch MS02-031
属性

文章 ID:324458 - 上次审阅时间:10/26/2013 17:15:08 - 修订版本: 4.2

Microsoft Excel 2000 标准版, Microsoft Excel 2002 标准版, Microsoft Word 2002 标准版

  • kbnosurvey kbarchive kbsecbulletin kbdownload kbbug kbfix kboffice2000presp3fix kbofficexppresp2fix kbofficexpsp2fix kbsecurity KB324458
反馈