Microsoft PowerPoint BuildList记录内存破坏漏洞(MS09-017)

2009-05-15T00:00:00
ID SSV:11305
Type seebug
Reporter Root
Modified 2009-05-15T00:00:00

Description

BUGTRAQ ID: 34879 CVE(CAN) ID: CVE-2009-0224

Microsoft PowerPoint是微软Office套件中的文档演示工具。

PowerPoint在解析BuildList记录时存在内存破坏漏洞。BuildList记录是用于描述PowerPoint文件中表格和图标的其他记录的容器。如果所注入的多个BuildList记录中包含有ChartBuild容器的话,在解析ChartBuild容器的内容时就会触发内存破坏,允许攻击者控制对象指针并引用受控的函数。

Microsoft Office 2008 for Mac Microsoft Office 2004 for Mac Microsoft PowerPoint Viewer 2007 SP2 Microsoft PowerPoint Viewer 2007 SP1 Microsoft PowerPoint Viewer 2003 Microsoft PowerPoint 2007 SP2 Microsoft PowerPoint 2007 SP1 Microsoft PowerPoint 2003 SP3 Microsoft PowerPoint 2002 SP3 Microsoft PowerPoint 2000 SP3 Microsoft Works 9.0 Microsoft Works 8.5 临时解决方法:

  • 在打开未知或不可信任来源的文件时,使用Microsoft Office隔离转换环境(MOICE)。
  • 使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的Office2003及更早版本的文档。可使用以下注册表脚本为Office 2003设置文件阻断策略:

    Office 2003

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Security\FileOpenBlock]

"BinaryFiles"=dword:00000001

  • 不要打开或保存从不受信任来源或从受信任来源意外收到的Microsoft Office文件。

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(MS09-017)以及相应补丁: MS09-017:Vulnerabilities in Microsoft Office PowerPoint Could Allow Remote Code Execution (967340) 链接:<a href="http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx?pf=true" target="_blank" rel=external nofollow>http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx?pf=true</a>