Microsoft Office Web Components Spreadsheet控件0day漏洞

发布日期：2009-07-14

CVE ID：CVE-2009-1136

受影响的软件及系统：
====================
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security 和 Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security 和 Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security 和 Acceleration Server 2006
Internet Security 和 Acceleration Server 2006 Supportability Update
Microsoft Internet Security 和 Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

综述：
======
微软系统的Office Web Components Spreadsheet是一组用于向Web发布电子表格、图表及数据库的控件。Office Web Components Spreadsheet控件实现上存在安全漏洞，如果用户访问了恶意网页就可能触发这个漏洞，导致在用户系统上执行任意指令，攻击者取得对用户系统的完全控制。目前微软已就此漏洞发布了安全公告并提供了相应的临时解决方案。

目前这个漏洞正在被攻击者广泛地用于挂马攻击。我们强烈建议用户暂时不要使用IE，改用Firefox、Opera等非IE核心的网络浏览器，或采取解决方法节中的措施以避免受到来自互联网的攻击，并在补丁发布后及时安装补丁以彻底消除漏洞的影响。

分析：
======
Office Web Components Spreadsheet的某些调用方法处理畸形的参数类型时存在漏洞，此漏洞可以通过IE浏览器调用ActiveX控件远程利用，导致IE执行攻击者指定的恶意指令获取系统的控制。

Office Web Components Spreadsheet（版本10或11）软件默认不随Windows系统发布，但在安装目前主流版本的Office软件时会作为其中的一部分安装到系统中，因此如果系统中安装了受影响的软件及系统节所列的软件，则受此漏洞的影响。

该漏洞是一个“0day”漏洞，目前已经被大量“挂马”攻击者所使用。

解决方法：
==========
临时解决方案：
    
* 对漏洞相关的控件设置Kill Bit，对漏洞相关控件设置Kill Bit应该不会对系统造成太大影响。
      
设置Kill Bit，或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

微软已经提供了一个工具来完成上述操作：
http://go.microsoft.com/?linkid=9672747

* 暂时不要使用IE浏览器，可以使用Opera或Firefox。

厂商状态：
==========
微软已经发布了安全公告并提供了临时处理方法:
http://www.microsoft.com/technet/security/advisory/973472.mspx

附加信息：
==========
1. http://www.nsfocus.net/vulndb/13584
2. http://xeye.us/blog/2009/07/one-0day/
3. http://www.microsoft.com/technet/security/advisory/973472.mspx
4. http://blogs.technet.com/srd/

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技