发布日期：2007-02-03
更新日期：2007-02-14

受影响系统：

Microsoft Excel XP
Microsoft Excel 2003
Microsoft Excel 2000

描述：

---

BUGTRAQ  ID: 22383
CVE(CAN) ID: CVE-2007-0671

Microsoft Excel是非常流行的电子表格处理办公软件。

Microsoft Excel处理畸形文件格式时存在漏洞，远程攻击者可能利用此漏洞通过诱骗用户打开恶意文件控制用户机器。

如果用户受骗打开了恶意的Excel文件的话，就可能导致执行任意代码。目前这个漏洞正在被名为Exploit-MSExcel.h的木马积极地利用。在打开畸形的XLS文件时会执行以下操作：

* 在内存中解压异或加密的shellcode
* 对于Windows XP Service Pack 2，使用硬编码的地址加载KERNEL32.DLL；对于其他Windows版本，Excel会崩溃
* 使用API调用GetTempPathA和CreateFileA在%Temp%\top10.exe中创建新文件
* 使用API调用GetFileSize在内存中查找打开的XLS文件句柄，匹配特定的文件大小
* 从XLS文件中解压有效负载并写入%Temp%\top10.exe
* 执行%Temp%\top10.exe

<*链接：http://secunia.com/advisories/24008/
        http://www.avertlabs.com/research/blog/?p=191
        http://www.microsoft.com/technet/security/advisory/932553.mspx?pf=true
        http://vil.nai.com/vil/content/v_141393.htm
        http://www.microsoft.com/technet/security/Bulletin/ms07-015.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA07-044A.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要打开不可信任的Excel文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-015）以及相应补丁:
MS07-015：Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (932554)
链接：http://www.microsoft.com/technet/security/Bulletin/ms07-015.mspx?pf=true

浏览次数：3457
严重程度：0（网友投票）