安全研究

紧急通告
Microsoft Word RTF文件解析错误代码执行0day漏洞 (Alert2014-03)

发布日期:2014-03-25

描述:

CVE ID:CVE-2014-1761
受影响的软件及系统:
====================
Microsoft Word 2003 Service Pack 3
Microsoft Word 2007 Service Pack 3
Microsoft Word 2010 Service Pack 1 (32-bit editions)
Microsoft Word 2010 Service Pack 2 (32-bit editions)
Microsoft Word 2010 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (64-bit editions)
Microsoft Word 2013 (32-bit editions)
Microsoft Word 2013 (64-bit editions)
Microsoft Word 2013 RT
Microsoft Word Viewer
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Office for Mac 2011
Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
Word Automation Services on Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 2

Microsoft Office Web Apps Server 2013


综述:
======
Microsoft Word 是微软公司的一个文字处理软件。
Microsoft Word存在一个远程代码执行0day漏洞,微软已经发现有攻击者在利用此漏洞进行攻击,目前微软还没有提供正式补丁。

强烈建议Word用户参照解决方法部分的措施进行必要的防护,并在微软正式补丁发布后及时升级。


分析:
======
Microsoft Word在解析畸形的RTF格式数据时存在错误导致内存破坏,使得攻击者能够执行任意代码。当用户使用Microsoft Word受影响的版本打开恶意RTF文件,或者Microsoft Word是Microsoft Outlook的Email Viewer时,用户预览或打开恶意的RTF邮件信息,攻击者都可能成功利用此漏洞,从而获得当前用户的权限。值得注意的是,Microsoft Outlook 2007/2010/2013默认的Email Viewer都是Microsoft Word。

解决方法:

在厂商补丁发布之前,我们建议用户可以采用如下防护措施:
* 禁止Mircosoft Word打开RTF文件。建议使用微软提供的FixIt工具: https://support.microsoft.com/kb/2953095
* 在Mircosoft Word信任中心设置总是在保护视图(Protected View)打开RTF文件。
* 采用厂商提供的Enhanced Mitigation Experience Toolkit (EMET)工具。
  
  增强缓解体验工具包(EMET)是一个实用工具,用于防止软件中的漏洞被成功利用。
  从如下网址下载增强缓解体验工具包:
  http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
  

  安装以后运行,在"Quick Profile Name"中选择Recommended security  settings,即可获得相应的防护。


厂商状态:
==========
厂商已发布安全公告和临时解决方案,目前还没有发布补丁。
厂商安全公告:
http://technet.microsoft.com/en-us/security/advisory/2953095
FixIt Tool:

https://support.microsoft.com/kb/2953095 


附加信息:
==========
1. http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
2. http://technet.microsoft.com/en-us/security/advisory/2953095


浏览次数:

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

绿盟科技,巨人背后的专家
关 闭
按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于绿盟科技
公司概况
品牌标识
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品线概述
产品资质
业务解决方案
公司资质
相关网站
售后服务
软件升级
绿盟客户自助门户系统