MS03-036:WordPerfect 转换器中的缓冲区溢出可能允许代码执行

本文已归档。它按“原样”提供,并且不再更新。
症状
通过 Microsoft Office 提供的转换器,用户可以导入和编辑使用非 Office 自有格式的文件。这些转换器作为 Office 默认安装的一部分提供;同时,您也可以通过 Microsoft Office 转换器包单独获取它们。这些转换器对那些在包含 Office 早期版本和其他程序(包括 Office 的 Macintosh 版本和第三方生产效率程序)的混合环境下使用 Office 的组织很有帮助。

Microsoft WordPerfect 转换器处理 Corel WordPerfect 文档的方式有一个缺陷。造成安全漏洞的原因是,当转换器打开 WordPerfect 文档时没有正确地验证某些参数,这导致出现一个未经检查的缓冲区。这样,攻击者可以创建恶意的 WordPerfect 文档;如果一个使用 WordPerfect 转换器的程序打开了该文档,它将使攻击者所选择的代码得以执行。Microsoft Word 和 Microsoft PowerPoint(Office 套件的组成部分)、FrontPage(作为 Office 套件的一部分提供或单独提供)、Publisher 以及 Microsoft Works Suite 都可以使用 Microsoft Office WordPerfect 转换器。

攻击者只有诱骗用户打开恶意的 WordPerfect 文档才能利用该漏洞。攻击者无法强制用户打开恶意文档,也无法在电子邮件中利用该漏洞自动触发攻击。
减轻影响的因素
  • 用户必须打开恶意文档,攻击才会得逞。攻击者无法强制文档自动打开。
  • 无法通过电子邮件自动利用此漏洞。用户必须打开电子邮件发送的附件,电子邮件攻击才会得逞。
  • 默认情况下,Microsoft Outlook Express 6.0 和 Microsoft Outlook 2002 阻止以编程方式访问通讯簿。此外,如果已经安装了 Outlook 电子邮件安全更新程序,Microsoft Outlook 98 和 Microsoft Outlook 2000 也阻止通过编程方式访问 Outlook 通讯簿。使用这些产品中任一产品的客户都不具有传播利用这一漏洞的电子邮件攻击的危险。
解决方案

安全修补程序信息

下载和安装信息

如果您使用以下任一程序:
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
请参见 Microsoft 知识库中的以下文章:
824938 Overview of the Office XP WordPerfect 5.x Converter Security Patch:September 3, 2003


如果您使用以下任一程序:
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
请参见 Microsoft 知识库中的以下文章:
824993 Overview of the Office 2000 WordPerfect 5.x Converter Security Patch:September 3, 2003


如果您在使用以下任一程序:
  • Microsoft Office 97
  • Microsoft Word for Windows 98(日文)
请参见 Microsoft 知识库中的以下文章以了解更多信息:
827656 Overview of the Office 97 WordPerfect 5.x Converter Security Patch:September 3, 2003


修补程序删除


无法删除此修补程序。

有关修补程序替代的信息


此修补程序不替代任何其他安全修补程序。
参考
有关这些漏洞的更多信息,请访问下面的 Microsoft Web 站点:
属性

文章 ID:827103 - 上次审阅时间:02/26/2014 21:07:06 - 修订版本: 3.0

  • Microsoft Office XP 标准版
  • Microsoft Office 2000 标准版
  • Microsoft Office 97 标准版
  • Microsoft Word 98 标准版
  • Microsoft FrontPage 2002 标准版
  • Microsoft FrontPage 2000 标准版
  • Microsoft Publisher 2002 标准版
  • Microsoft Publisher 2000 标准版
  • Microsoft Works Suite 2003 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2001 标准版
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
反馈