Microsoft Excel 2002 XML样式表单任意指令执行漏洞(MS02-031)

漏洞信息详情

Microsoft Excel 2002 XML样式表单任意指令执行漏洞(MS02-031)

• CNNVD编号：CNNVD-200208-112
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0618
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Georgi Guninski※ g…

Microsoft Excel 2002是一款Microsoft公司分发和维护的流行的办公软件。
Microsoft Excel 2002在处理带有XML样式表单(sytlesheet)的XML文档时存在漏洞，可导致远程攻击者以Excel进程权限在目标系统中执行任意命令。
当Microsoft Excel 2002装载带有XML样式表单(sytlesheet)的XML文档时，用户会选择是否装载相关的样式表单，如果XML样式表单(sytlesheet)中包含Javascript ＆ VBscript脚本，然后用户在查看.xls文件时又采用样式表单，脚本就会在没有提示的情况下执行。攻击者可以利用WEB页面或者EMAIL进行夹带.xls文件进行攻击，以excel进程的权限在目标系统中执行任意命令。
默认情况下，Microsoft Excel 2002不装载XML样式表单(sytlesheet)。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 不要用Microsoft Excel 2002随意打开不明.xls文件。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS02-031)以及相应补丁:

MS02-031：Cumulative Patches for Excel and Word for Windows (Q324458)

链接：http://www.microsoft.com/technet/security/bulletin/MS02-031.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS02-031.asp

来源: MS
名称: MS02-031
链接:http://www.microsoft.com/technet/security/bulletin/ms02-031.asp

来源: www.guninski.com
链接:http://www.guninski.com/ex$el2.html

来源: NTBUGTRAQ
名称: 20020524 Excel XP xml stylesheet problems
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=102256054320377&w=2

来源: BID
名称: 4821
链接:http://www.securityfocus.com/bid/4821

来源: XF
名称: excel-xsl-script-execution(9399)
链接:http://www.iss.net/security_center/static/9399.php