Microsoft Word邮件合并文档远程代码执行漏洞(MS02-031)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204167 漏洞类型 输入验证
发布时间 2002-06-19 更新时间 2005-10-12
CVE编号 CVE-2002-0619 CNNVD-ID CNNVD-200208-058
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200208-058
|漏洞详情
MicrosoftWord是Microsoft公司开发的办公系统软件。MicrosoftWord在打开保存为HTML格式的邮件合并文档时存在漏洞,可导致嵌入到此文档的攻击者的宏代码自动执行。在Word邮件合并文档中通过DDE指定Access数据库作为数据资源的情况下,当用户打开存为HTML形式的邮件合并文档时,嵌入的宏代码在没有用户允许下自动执行。如果用户把此文档作为邮件附件或者包含在恶意WEB页面链接中,目标用户打开时就可以导致任意代码在用户系统上执行。需要注意的是指定的数据库需要在目标用户的本地或者网络驱动盘上,或者存储在一个可访问的UNC共享中。此漏洞类似MicrosoftSecurityBulletinMS00-071,不同的是恶意文件需要存储在HTML格式。
|参考资料

来源:MS
名称:MS02-031
链接:http://www.microsoft.com/technet/security/bulletin/ms02-031.asp
来源:BUGTRAQ
名称:20020514dHteam&SECURITY.NNOV:Avariantof"WordMailMerge"vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102139136019862&w=2
来源:BID
名称:5066
链接:http://www.securityfocus.com/bid/5066
来源:XF
名称:word-mail-merge-variant(9077)
链接:http://www.iss.net/security_center/static/9077.php