Microsoft Project无效资源内存分配远程代码执行漏洞（MS09-074）

BUGTRAQ ID: 37211
CVE ID: CVE-2009-0102

Project是微软Office套件中的项目管理和控制组件。

Project的winproj.exe服务在处理包含有畸形元素字段列表结构的特制Project文件时存在内存破坏漏洞。如果用户受骗打开了畸形文档，就可能触发这个漏洞，导致执行任意指令。

Microsoft Project 2003 SP3
Microsoft Project 2002 SP1
Microsoft Project 2000 SP1
临时解决方法：

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

• 不要打开从不可信任来源接收或从可信任来源意外接收到的Project文件，如带有.mpp扩展名的文件。

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-074）以及相应补丁:
MS09-074：Vulnerability in Microsoft Office Project Could Allow Remote Code Execution (967183)
链接：http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx?pf=true