发布日期：2010-06-08
更新日期：2010-06-12

受影响系统：

Microsoft Open XML File Format Converter for Mac

描述：

---

BUGTRAQ  ID: 40533
CVE ID: CVE-2010-1254

Open XML转换器可以转换在Office 2008 for Mac或2007 Office for Windows中创建的Open XML文件，以便在早期版本的Office for Mac中打开、编辑和保存这些文件。

Open XML File Format Converter for Mac自行安装的方式存在权限提升漏洞。在安装期间，Open XML File Format Converter for Mac更改了/Applications文件夹的文件系统ACL，降低了其安全设置，允许所有对文件夹中文件的访问。如果要利用这个漏洞，攻击者必须首先登录到系统。攻击者可以使用恶意可执行程序替换Open XML File Format Converter for Mac，当管理员之后登录并运行Open XML File Format Converter for Mac时，就会执行攻击者所提供的代码，允许攻击者完全控制受影响的系统。

<*来源：Rick Glaspie
  
  链接：http://secunia.com/advisories/37500/
        http://www.microsoft.com/technet/security/bulletin/MS10-038.asp
        http://www.us-cert.gov/cas/techalerts/TA10-159B.html
*>

建议：

---

临时解决方法：

* 将/Applications文件夹和Open XML File Format Converter for Mac的所有者和组更改为特权用户，在Terminal应用中运行以下命令：
    
sudo chown root:admin /Applications
sudo chown -R root:admin /Applications/Open\XML\Converter.app

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS10-038）以及相应补丁:
MS10-038：Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (2027452)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-038.asp

浏览次数：2916
严重程度：0（网友投票）