发布日期：2009-08-11
更新日期：2009-08-13

受影响系统：

Microsoft ISA Server 2006 SP1
Microsoft ISA Server 2004 SP3
Microsoft Office XP SP3
Microsoft Office 2003 Service Pack 3
Microsoft Office Web Components XP SP3
Microsoft Office Web Components 2003 SP3
Microsoft Office Web Components 2003 SP1 for Office 2007
Microsoft Office Small Business Accounting 2006

描述：

---

BUGTRAQ  ID: 35990
CVE(CAN) ID: CVE-2009-0562

Microsoft Office是非常流行的办公软件套件。

Office Web组件是用于向Web发布电子表格、图表和数据库的COM控件集，在加载和卸载其中的OWC10 ActiveX控件（0002E543-0000-0000-C000-000000000046）期间可能会触发堆破坏。攻击者可以通过构建特制的网页来利用该漏洞，当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

<*来源：Peter Vreugdenhil
  
  链接：http://secunia.com/advisories/35800/
        http://marc.info/?l=bugtraq&m=125002640908577&w=2
        http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-223A.html
*>

建议：

---

临时解决方法：

* 禁止尝试在Internet Explorer中运行Office Web Components库。
* 注销Office Web Components库。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-043）以及相应补丁:
MS09-043：Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx?pf=true

浏览次数：3031
严重程度：0（网友投票）