Microsoft PowerPoint BuildList记录内存破坏漏洞（MS09-017）

BUGTRAQ ID: 34879
CVE(CAN) ID: CVE-2009-0224

Microsoft PowerPoint是微软Office套件中的文档演示工具。

PowerPoint在解析BuildList记录时存在内存破坏漏洞。BuildList记录是用于描述PowerPoint文件中表格和图标的其他记录的容器。如果所注入的多个BuildList记录中包含有ChartBuild容器的话，在解析ChartBuild容器的内容时就会触发内存破坏，允许攻击者控制对象指针并引用受控的函数。

Microsoft Office 2008 for Mac
Microsoft Office 2004 for Mac
Microsoft PowerPoint Viewer 2007 SP2
Microsoft PowerPoint Viewer 2007 SP1
Microsoft PowerPoint Viewer 2003
Microsoft PowerPoint 2007 SP2
Microsoft PowerPoint 2007 SP1
Microsoft PowerPoint 2003 SP3
Microsoft PowerPoint 2002 SP3
Microsoft PowerPoint 2000 SP3
Microsoft Works 9.0
Microsoft Works 8.5
临时解决方法：

• 在打开未知或不可信任来源的文件时，使用Microsoft Office隔离转换环境（MOICE）。

• 使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的Office2003及更早版本的文档。可使用以下注册表脚本为Office 2003设置文件阻断策略：

  Office 2003

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Security\FileOpenBlock]

"BinaryFiles"=dword:00000001

• 不要打开或保存从不受信任来源或从受信任来源意外收到的Microsoft Office文件。

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-017）以及相应补丁:
MS09-017：Vulnerabilities in Microsoft Office PowerPoint Could Allow Remote Code Execution (967340)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx?pf=true</a>