发布日期：2009-02-10
更新日期：2009-02-11

受影响系统：

Microsoft Visio 2007 SP1
Microsoft Visio 2003 SP3
Microsoft Visio 2002 SP2

描述：

---

BUGTRAQ  ID: 33659,33660,33661
CVE(CAN) ID: CVE-2009-0095,CVE-2009-0096,CVE-2009-0097

Visio是微软Office套件中的图形编辑工具。

Microsoft Office Visio在打开Visio文件时验证对象数据、复制内存中的对象数据和处理内存的方式存在多个内存破坏漏洞。攻击者可能通过发送特制的文件来利用该漏洞，该文件可能作为电子邮件附件提供或者宿主在特制的或被破坏的网站上。
    
如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

<*来源：Bing Liu
  
  链接：http://secunia.com/advisories/33833/
        http://www.microsoft.com/technet/security/Bulletin/MS09-005.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-041A.html
*>

建议：

---

临时解决方法：

* 不要打开从不受信任来源或从受信任来源意外收到的Visio文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-005）以及相应补丁:
MS09-005：Vulnerabilities in Microsoft Office Visio Could Allow Remote Code Execution (957634)
链接：http://www.microsoft.com/technet/security/Bulletin/MS09-005.mspx?pf=true

浏览次数：3727
严重程度：0（网友投票）