Microsoft Word邮件合并文档远程代码执行漏洞(MS02-031)

漏洞信息详情

Microsoft Word邮件合并文档远程代码执行漏洞(MS02-031)

• CNNVD编号：CNNVD-200208-058
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0619
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-06-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  dH team
  SECURITY.N…

Microsoft Word是Microsoft公司开发的办公系统软件。
Microsoft Word在打开保存为HTML格式的邮件合并文档时存在漏洞，可导致嵌入到此文档的攻击者的宏代码自动执行。
在Word邮件合并文档中通过DDE指定Access数据库作为数据资源的情况下，当用户打开存为HTML形式的邮件合并文档时，嵌入的宏代码在没有用户允许下自动执行。
如果用户把此文档作为邮件附件或者包含在恶意WEB页面链接中，目标用户打开时就可以导致任意代码在用户系统上执行。
需要注意的是指定的数据库需要在目标用户的本地或者网络驱动盘上，或者存储在一个可访问的UNC共享中。
此漏洞类似Microsoft Security Bulletin MS00-071，不同的是恶意文件需要存储在HTML格式。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 不要用Microsoft Word打开不可信文档。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS02-031)以及相应补丁:

MS02-031：Cumulative Patches for Excel and Word for Windows (Q324458)

链接：http://www.microsoft.com/technet/security/bulletin/MS02-031.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS02-031.asp

补丁下载：

* Office Product Updates site:

http://office.microsoft.com/productupdates/default.aspx” target=”_blank”>
http://office.microsoft.com/productupdates/default.aspx

* Microsoft Excel 2000 for Windows:

o Client Installation:

http://office.microsoft.com/downloads/2000/exc0901.aspx” target=”_blank”>
http://office.microsoft.com/downloads/2000/exc0901.aspx

o Administrative Installation:

http://www.microsoft.com/office/ork/xp/journ/exc0901a.htm” target=”_blank”>
http://www.microsoft.com/office/ork/xp/journ/exc0901a.htm

* Microsoft Excel 2002 for Windows:

o Client Installation:

http://office.microsoft.com/downloads/2002/exc1002.aspx” target=”_blank”>
http://office.microsoft.com/downloads/2002/exc1002.aspx

o Administrative Installation:

http://www.microsoft.com/office/ork/xp/journ/exc1002a.htm” target=”_blank”>
http://www.microsoft.com/office/ork/xp/journ/exc1002a.htm

* Microsoft Word 2002:

o Client Installation:

http://office.microsoft.com/downloads/2002/wrd1004.aspx” target=”_blank”>
http://office.microsoft.com/downloads/2002/wrd1004.aspx

o Administrative Installation:

http://www.microsoft.com/office/ork/xp/journ/wrd1004a.htm” target=”_blank”>
http://www.microsoft.com/office/ork/xp/journ/wrd1004a.htm

来源: MS
名称: MS02-031
链接:http://www.microsoft.com/technet/security/bulletin/ms02-031.asp

来源: BUGTRAQ
名称: 20020514 dH team & SECURITY.NNOV: A variant of “Word Mail Merge” vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102139136019862&w=2

来源: BID
名称: 5066
链接:http://www.securityfocus.com/bid/5066

来源: XF
名称: word-mail-merge-variant(9077)
链接:http://www.iss.net/security_center/static/9077.php