Microsoft Excel 2002 XML样式表单任意指令执行漏洞(MS02-031)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204324 漏洞类型 输入验证
发布时间 2002-05-24 更新时间 2005-10-12
CVE编号 CVE-2002-0618 CNNVD-ID CNNVD-200208-112
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200208-112
|漏洞详情
MicrosoftExcel2002是一款Microsoft公司分发和维护的流行的办公软件。MicrosoftExcel2002在处理带有XML样式表单(sytlesheet)的XML文档时存在漏洞,可导致远程攻击者以Excel进程权限在目标系统中执行任意命令。当MicrosoftExcel2002装载带有XML样式表单(sytlesheet)的XML文档时,用户会选择是否装载相关的样式表单,如果XML样式表单(sytlesheet)中包含Javascript&VBscript脚本,然后用户在查看.xls文件时又采用样式表单,脚本就会在没有提示的情况下执行。攻击者可以利用WEB页面或者EMAIL进行夹带.xls文件进行攻击,以excel进程的权限在目标系统中执行任意命令。默认情况下,MicrosoftExcel2002不装载XML样式表单(sytlesheet)。
|参考资料

来源:MS
名称:MS02-031
链接:http://www.microsoft.com/technet/security/bulletin/ms02-031.asp
来源:www.guninski.com
链接:http://www.guninski.com/ex$el2.html
来源:NTBUGTRAQ
名称:20020524ExcelXPxmlstylesheetproblems
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=102256054320377&w=2
来源:BID
名称:4821
链接:http://www.securityfocus.com/bid/4821
来源:XF
名称:excel-xsl-script-execution(9399)
链接:http://www.iss.net/security_center/static/9399.php