【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 微软高危补丁:Office网络组件在IE的远程控制漏洞 [打印本页]

作者: oooooo 时间: 2009-7-15 17:57 标题: 微软高危补丁:Office网络组件在IE的远程控制漏洞

如果用户使用IE运行Office Web Components,则其中的一个漏洞允许攻击者获得与本地用户相同的远程控制权限.代码的执行不需要用户手动执行任何操作.为了补上这个漏洞,微软今天发布了补丁KB973472,同时表示用户可以手动阻止在IE运行Office Web Components作为应急措施.微软即时保护计划(MAPP)的合作伙伴将得到信息,以便提供更广泛的保护.
更新：查看您的电脑是否在受影响范围内，以及手动解决此问题的办法。

查看:Microsoft Security Advisory (973472)

如果您使用Windows Server 2003或者2008,则Internet访问默认仅限于部分已许可的站点,这样的安全增强设置有助于避免您从不熟悉的网站下载和安装插件.

Outlook或者Outlook Express默认接受来自受限站点的HTML电子邮件信息.这样可能的ActiveX攻击会得到避免.不过,在点击电子邮件中内含的链接时依然要小心.

尽管本漏洞可能不需要用户操作即可执行,但多数情况下用户只有执行了特定操作,如点击某个链接才有可能进入包含攻击代码的页面.

漏洞将使攻击者获得Local User权限,这是次于Administrator但远高于Guest的用户权限.

Office Web Components是Office用来在Web发布电子表格,表单或数据库,并查看在线存储的文档的一系列COM控件的集合.如果在安装Office时选择了默认安装,则将会包含此项目.此项目位于安装程序的“Office工具”部分.

更新：您可以根据以下表格对应查找自己的机器是否在受影响的范围之内。

OWC10 OWC11
Office XP Yes
Office 2003 Yes Yes
Office 2007 Opt
BizTalk Yes
ISA Server Yes
Office Accounting and Business Contact Manager Yes
手动安装：Owc10 Owc11 Yes Yes

Yes=缺省安装 (受影响) Opt=可选安装 (可能受影响)

手动解决办法：

1) 查看注册表的以下键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}

2) 将上述 DWORD 值改为 0x00000400.

修改以后查看效果需要使用 ClassId.cs 工具:

C:\>ClassId.exe {0002E541-0000-0000-C000-000000000046} (*)

Clsid: {0002E541-0000-0000-C000-000000000046}
Progid: OWC10.Spreadsheet.10
Binary Path: C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
Implements IObjectSafety: True
Safe For Initialization (IObjectSafety): True
Safe For Scripting (IObjectSafety): True
Safe For Initialization (Registry): False
Safe For Scripting (Registry): False
KillBitted: True --- Since the kilbit has been applied, IE will refuse to
load the control

(*) 这个例子使用了 OWC10 的classid. OWC11 的 classid: {0002E559-0000-0000-C000-000000000046}
cnBeta编译自TechWeb

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)