MicrosoftWord在解析畸形的RTF格式数据时存在错误导致内存破坏,使得攻击者能够执行任意代码。当用户使用MicrosoftWord受影响的版本打开恶意RTF文件,或者MicrosoftWord是MicrosoftOutlook的EmailViewer时,用户预览或打开恶意的RTF邮件信息,攻击者都可能成功利用此漏洞,从而获得当前用户的权限。值得注意的是,MicrosoftOutlook2007/2010/2013默认的EmailViewer都是MicrosoftWord。
发布日期:2014-03-25
CVEID:CVE-2014-1761
受影响的软件及系统:
====================
MicrosoftWord2003ServicePack3
MicrosoftWord2007ServicePack3
MicrosoftWord2010ServicePack1(32-biteditions)
MicrosoftWord2010ServicePack2(32-biteditions)
MicrosoftWord2010ServicePack1(64-biteditions)
MicrosoftWord2010ServicePack2(64-biteditions)
MicrosoftWord2013(32-biteditions)
MicrosoftWord2013(64-biteditions)
MicrosoftWord2013RT
MicrosoftWordViewer
MicrosoftOfficeCompatibilityPackServicePack3
MicrosoftOfficeforMac2011
WordAutomationServicesonMicrosoftSharePointServer2010ServicePack1
WordAutomationServicesonMicrosoftSharePointServer2010ServicePack2
WordAutomationServicesonMicrosoftSharePointServer2013
MicrosoftOfficeWebApps2010ServicePack1
MicrosoftOfficeWebApps2010ServicePack2
MicrosoftOfficeWebAppsServer2013
综述:
======
MicrosoftWord是微软公司的一个文字处理软件。
MicrosoftWord存在一个远程代码执行0day漏洞,微软已经发现有攻击者在利用此漏洞进行攻击,目前微软还没有提供正式补丁。
强烈建议Word用户参照解决方法部分的措施进行必要的防护,并在微软正式补丁发布后及时升级。
解决方法:
==========
在厂商补丁发布之前,我们建议用户可以采用如下防护措施:
*禁止MircosoftWord打开RTF文件。建议使用微软提供的FixIt工具:https://support.microsoft.com/kb/2953095
*在MircosoftWord信任中心设置总是在保护视图(ProtectedView)打开RTF文件。
*采用厂商提供的EnhancedMitigationExperienceToolkit(EMET)工具。
增强缓解体验工具包(EMET)是一个实用工具,用于防止软件中的漏洞被成功利用。
从如下网址下载增强缓解体验工具包:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0×409
安装以后运行,在"QuickProfileName"中选择Recommendedsecuritysettings,即可获得相应的防护。
厂商状态:
==========
厂商已发布安全公告和临时解决方案,目前还没有发布补丁。
厂商安全公告:
http://technet.microsoft.com/en-us/security/advisory/2953095
FixItTool:
https://support.microsoft.com/kb/2953095
附加信息:
==========
1.http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
2.http://technet.microsoft.com/en-us/security/advisory/2953095
