发布日期：2009-12-08
更新日期：2009-12-09

受影响系统：

Microsoft Project 2003 SP3
Microsoft Project 2002 SP1
Microsoft Project 2000 SP1

描述：

---

BUGTRAQ  ID: 37211
CVE ID: CVE-2009-0102

Project是微软Office套件中的项目管理和控制组件。

Project的winproj.exe服务在处理包含有畸形元素字段列表结构的特制Project文件时存在内存破坏漏洞。如果用户受骗打开了畸形文档，就可能触发这个漏洞，导致执行任意指令。

<*来源：Bing Liu
  
  链接：http://secunia.com/advisories/37588/
        http://marc.info/?l=full-disclosure&m=126031031913212&q=p5
        http://www.us-cert.gov/cas/techalerts/TA09-342A.html
        http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx?pf=true
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要打开从不可信任来源接收或从可信任来源意外接收到的Project文件，如带有.mpp扩展名的文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-074）以及相应补丁:
MS09-074：Vulnerability in Microsoft Office Project Could Allow Remote Code Execution (967183)
链接：http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx?pf=true

浏览次数：2397
严重程度：0（网友投票）