荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: MarchRain (为了爱,梦一生~~追梦人), 信区: Microsoft
标 题: MS Office发现多处安全性缺陷
发信站: BBS 荔园晨风站 (Wed Sep 27 15:09:24 2000), 转信
美国时间9月18日,在有关安全性漏洞信息的交换邮件清单“Bugtraq”中,有用户
报告微软的Office产品存在着安全性缺陷。当双击打开Word及Excel等撰写的文档
文件时,有可能执行用户不希望执行的非法程序。
接到该投稿的第二天即9月19日,微软也投书该邮件清单,表示该安全性漏洞
很难被恶意利用。在接到微软的投稿以后,该邮件清单的其他参加者们开始陆续投
稿说明"怎样能成功地恶意利用该漏洞",目前仍有人继续投稿。
●双击Office文件,同一文件夹中的DLL会擅自起动
首先提出报告的是保加利亚的安全顾问Georgi Guninski。到目前为止他已经
发现了多个安全性漏洞。
此次发现的安全性方面的缺陷为,当双击使用Word及Excel等使用微软Office
应用软件撰写的文档文件(扩展名为.doc及.xls的文件)时,将擅自起动位于同一
文件夹内的“riched20.dll”或者“msi.dll”。
因此,如果将非法程序的名称变更为“riched20.dll”或者“msi.dll”以后,并
将其放到与Office文档相同的文件夹内,就可以在用户无法察觉的情况下,在用户
电脑上执行非法程序。
从浏览器Explorer等直接双击文档文件或者"指定文件名执行"时也会起动上述
的DLL(Dynamic Link Library)文件。但是当起动Office应用软件以后,如果从
应用软件打开Office文档,就不会起动上述DLL文件。
但是当已经运行Office应用软件时,即使双击文档也不会起动DLL文件。
Guninski在自己管理的Web网站上公开了无害的样品DLL及其程序源代码。经过
实际下载并将文件名变更为“riched20.dll”进行试验的结果,果然重现了上述情
况。
●微软认为该漏洞“难以恶意利用”
对于Guninski的投稿,Microsoft Security Response Center的Scott Culp向
该邮件清单投稿表示,该安全性漏洞难以被恶意利用。
其理由是,“要想恶意利用该安全性漏洞,需要将非法DLL下载到与Office文档相
同的文件夹以后,再让该用户打开Office文档。这其实等于让用户故意下载并执行
非法程序”。意思是说,该漏洞与过去存在的安全性风险相同。
另外,他还举了难以恶意利用该安全性漏洞一个理由,该安全性漏洞无法通过
因特网恶意利用。例如,即使恶意用户在自己的Web网站上的同一个文件夹内放置
Office文档和非法DLL,也不会发生擅自下载Office文档和非法DLL的情况。
●“危险的脚本程序”接踵而至
对此,Bugtraq参加者们纷纷投稿显示各种恶意利用的方法。
比如,在压缩Office文档的存档(Archive)文件中放入非法DLL。当用户下载
该存档文件后通常会放在同一个文件夹中解冻。用户当然不会意识到文件夹内存在
着非法DLL文件,只要打开存在该目录中的Office文档就有可能被恶意利用。
另外,多数电子邮件软件将所有的附件文件临时放在同一个文件夹中。因此,当双
击Office文档附件以后,就有可能同时执行非法DLL附件。
除了上述这些方法以外,参加者目前仍在陆续投稿各种危险的脚本程序,由此
证明决不能轻视该安全性漏洞。
直到目前,微软并未发行修正程序(补丁程序)等。
由此看来今后除了要注意要执行或要打开的文件以外,还需要注意位于同一个
文件夹的文件,尤其是DLL文件等。不过,由于在Windows的初始设置中不会显示
DLL文件,因此需要从“显示”菜单中选择“显示所有文件”才行。
--
╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳
╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳
︳用 ︳永 ︳恒 ︳之 ︳手 ︳牵 ︳一 ︳世 ︳姻 ︳缘 ︳
╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳ ╳╳
╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳ ̄╳╳
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.28.99]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店