Microsoft RichEdit 中的漏洞可能允许远程执行代码(MS07-013)

2007-03-01T00:00:00
ID SSV:1431
Type seebug
Reporter Root
Modified 2007-03-01T00:00:00

Description

Microsoft Windows 和 Microsoft Office 附带提供的 RichEdit 组件中存在一个远程执行代码漏洞。 当用户与 RTF 文件中的格式错误的嵌入 OLE 对象进行交互时,攻击者可能利用此漏洞。 如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003(用于基于 Itanium 的系统)和 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统) Microsoft Windows Server 2003 x64 Edition Office 软件: Microsoft Office 2000 Service Pack 3 Microsoft Access 2000 Microsoft Excel 2000 Microsoft FrontPage 2000 Microsoft Outlook 2000 Microsoft PowerPoint 2000 Microsoft Publisher 2000 Microsoft Word 2000 Microsoft Office XP Service Pack 3 Microsoft Access 2002 Microsoft Excel 2002 Microsoft FrontPage 2002 Microsoft Outlook 2002 Microsoft PowerPoint 2002 Microsoft Publisher 2002 Microsoft Word 2002 Microsoft Office 2003 Service Pack 2 Microsoft Access 2003 Microsoft Excel 2003 Microsoft FrontPage 2003 Microsoft InfoPath 2003 Microsoft OneNote 2003 Microsoft Outlook 2003 Microsoft PowerPoint 2003 Microsoft Project 2003 Microsoft Publisher 2003 Microsoft Visio 2003 Microsoft Word 2003 Microsoft Word 2003 Viewer Microsoft Project 2000 Service Release 1 Microsoft Office 2000 Multilanguage Packs Microsoft Project 2002 Service Pack 1 Microsoft Visio 2002 Service Pack 2 用于 Microsoft Office 的 Microsoft Learning Essentials 1.0、1.1 和 1.5 Microsoft Global Input Method Editor for Office 2000(日语) Microsoft Office 2004 for Mac

临时解决方法 阻止 Wordpad 中嵌入的对象 从 Windows 2000 或 Windows 2003 卸载 WordPad

厂商补丁: 微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的"Windows update"功能下载最新补丁。 您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁: <a href="http://www.microsoft.com/china/technet/security/bulletin/MS07-013.mspx" target="_blank">http://www.microsoft.com/china/technet/security/bulletin/MS07-013.mspx</a>