如果用户使用IE运行Office Web Components,则其中的一个漏洞允许攻击者获得与本地用户相同的远程控制权限.代码的执行不需要用户手动执行任何操作.为了补上这个漏洞,微软今天发布了补丁KB973472,同时表示用户可以手动阻止在IE运行Office Web Components作为应急措施.微软即时保护计划(MAPP)的合作伙伴将得到信息,以便提供更广泛的保护.
更新:查看您的电脑是否在受影响范围内,以及手动解决此问题的办法,
微软高危补丁:Office网络组件在IE的远程控制漏洞
。查看:Microsoft Security Advisory (973472)
如果您使用Windows Server 2003或者2008,则Internet访问默认仅限于部分已许可的站点,这样的安全增强设置有助于避免您从不熟悉的网站下载和安装插件.
Outlook或者Outlook Express默认接受来自受限站点的HTML电子邮件信息.这样可能的ActiveX攻击会得到避免.不过,在点击电子邮件中内含的链接时依然要小心.
尽管本漏洞可能不需要用户操作即可执行,但多数情况下用户只有执行了特定操作,如点击某个链接才有可能进入包含攻击代码的页面.
漏洞将使攻击者获得Local User权限,这是次于Administrator但远高于Guest的用户权限.
Office Web Components是Office用来在Web发布电子表格,表单或数据库,并查看在线存储的文档的一系列COM控件的集合.如果在安装Office时选择了默认安装,则将会包含此项目.此项目位于安装程序的“Office工具”部分.
更新:您可以根据以下表格对应查找自己的机器是否在受影响的范围之内。
OWC10OWC11Office XPYesOffice 2003YesYesOffice 2007OptBizTalkYesISA ServerYesOffice Accounting and Business Contact ManagerYes手动安装:Owc10Owc11YesYes
Yes=缺省安装 (受影响) Opt=可选安装 (可能受影响)
手动解决办法:
1) 查看注册表的以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
2) 将上述 DWORD 值改为 0x00000400.
修改以后查看效果需要使用 ClassId.cs 工具:
<PRE>C:\>ClassId.exe {0002E541-0000-0000-C000-000000000046} (*)Clsid: {0002E541-0000-0000-C000-000000000046}Progid: OWC10.Spreadsheet.10Binary Path: C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLLImplements IObjectSafety: TrueSafe For Initialization (IObjectSafety): TrueSafe For Scripting (IObjectSafety): TrueSafe For Initialization (Registry): FalseSafe For Scripting (Registry): FalseKillBitted: True --- Since the kilbit has been applied, IE will refuse to</PRE><PRE>load the control</PRE>(*) 这个例子使用了 OWC10 的classid. OWC11 的 classid: {0002E559-0000-0000-C000-000000000046}
cnBeta编译自TechWeb