BUGTRAQ ID: 30595,30597
CVE(CAN) ID: CVE-2008-3019,CVE-2008-3018
Microsoft Office是非常流行的办公软件套件。
Microsoft Office过滤器处理畸形图像的方式中存在远程执行代码漏洞,攻击者可以通过构建特制封装的PostScript(EPS)或PICT文件来利用此漏洞。如果用户使用Office应用程序打开该文件,可能允许远程执行代码。此类特制文件可能包括在电子邮件附件中,或者宿主在恶意网站或受危害网站上。成功利用此漏洞的攻击者可以完全控制受影响的系统。不过,要利用此漏洞,需要进行大量用户交互。
Microsoft Office XP SP3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2000 SP3
Microsoft Works 8.0
临时解决方法:
修改存取控制表以拒绝所有用户对EPSIMP32.FLT的访问
注册表方法
脚本方法
对于Windows XP的所有受支持的32位版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /E /P everyone:N
对于Windows XP的所有受支持的基于x64的版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /E /P everyone:N
对于Windows Vista和Windows Server 2008的所有受支持的32位版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
对于Windows Vista和Windows Server 2008的所有受支持的基于x64的版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
修改存取控制表以拒绝所有用户对PICTIM32.FLT的访问
注册表方法
脚本方法
对于Windows XP的所有受支持的32位版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /E /P everyone:N
对于Windows XP的所有受支持的基于x64的版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /E /P everyone:N
对于Windows Vista和Windows Server 2008的所有受支持的32位版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT"
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /save %TEMP%\ PICTIM32 _ACL.TXT
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /deny everyone:(F)
对于Windows Vista和Windows Server 2008的所有受支持的基于x64的版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT"
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /save %TEMP%\ PICTIM32 _ACL.TXT
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\PICTIM32.FLT" /deny everyone:(F)
不要打开或保存从不受信任来源或从受信任来源意外收到的Microsoft Office文件。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-044)以及相应补丁:
MS08-044:Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (924090)
链接:<a href=“http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true</a>