首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2009-04)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft Office Web Components Spreadsheet控件0day漏洞

發布日期:2009-07-14

CVE ID:CVE-2009-1136

受影響的軟件及系統:
====================
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security 和 Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security 和 Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security 和 Acceleration Server 2006
Internet Security 和 Acceleration Server 2006 Supportability Update
Microsoft Internet Security 和 Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

綜述:
======
微軟系統的Office Web Components Spreadsheet是一組用于向Web發布電子表格、圖表及數據庫的控件。Office Web Components Spreadsheet控件實現上存在安全漏洞,如果用戶訪問了惡意網頁就可能觸發這個漏洞,導致在用戶系統上執行任意指令,攻擊者取得對用戶系統的完全控制。目前微軟已就此漏洞發布了安全公告并提供了相應的臨時解決方案。

目前這個漏洞正在被攻擊者廣泛地用于掛馬攻擊。我們強烈建議用戶暫時不要使用IE,改用Firefox、Opera等非IE核心的網絡瀏覽器,或采取解決方法節中的措施以避免受到來自互聯網的攻擊,并在補丁發布后及時安裝補丁以徹底消除漏洞的影響。

分析:
======
Office Web Components Spreadsheet的某些調用方法處理畸形的參數類型時存在漏洞,此漏洞可以通過IE瀏覽器調用ActiveX控件遠程利用,導致IE執行攻擊者指定的惡意指令獲取系統的控制。

Office Web Components Spreadsheet(版本10或11)軟件默認不隨Windows系統發布,但在安裝目前主流版本的Office軟件時會作為其中的一部分安裝到系統中,因此如果系統中安裝了受影響的軟件及系統節所列的軟件,則受此漏洞的影響。

該漏洞是一個“0day”漏洞,目前已經被大量“掛馬”攻擊者所使用。

解決方法:
==========
臨時解決方案:
    
* 對漏洞相關的控件設置Kill Bit,對漏洞相關控件設置Kill Bit應該不會對系統造成太大影響。
      
設置Kill Bit,或者將以下文本保存為.REG文件并導入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

微軟已經提供了一個工具來完成上述操作:
http://go.microsoft.com/?linkid=9672747

* 暫時不要使用IE瀏覽器,可以使用Opera或Firefox。

廠商狀態:
==========
微軟已經發布了安全公告并提供了臨時處理方法:
http://www.microsoft.com/technet/security/advisory/973472.mspx

附加信息:
==========
1. http://www.6047803.live/vulndb/13584
2. http://xeye.us/blog/2009/07/one-0day/
3. http://www.microsoft.com/technet/security/advisory/973472.mspx
4. http://blogs.technet.com/srd/

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规