Microsoft Word RTF文件解析错误代码执行漏洞（CVE-2014-1761）

发布日期：2014-03-24
更新日期：2014-03-25受影响系统：
Microsoft Word Viewer
Microsoft Word 2013
Microsoft Word 2010
Microsoft Word 2007
Microsoft Word 2003
描述：
--------------------------------------------------------------------------------
CVE（CAN） ID: CVE-2014-1761

Microsoft Word 是微软公司的一个文字处理软件。

因Microsoft Word在解析畸形的RTF格式数据时存在错误导致内存破坏，使得攻击者能够执行任意代码。当用户使用Microsoft Word受影响的版本打开恶意RTF文件，或者Microsoft Word是Microsoft Outlook的Email Viewer时，用户预览或打开恶意的RTF邮件信息，攻击者都可能成功利用此漏洞，从而获得当前用户的权限。值得注意的是，Microsoft Outlook 2007/2010/2013默认的Email Viewer都是Microsoft Word。

<*来源：Drew Hintz
Shane Huntley
Matty Pellegrino

链接：http://technet.microsoft.com/en-us/security/advisory/2953095
*>建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 应用Microsoft Fix it解决方案，禁止在Microsoft Word中打开RTF内容。
* 以纯文本读取电子邮件。
* 用Microsoft Office File Block策略阻止在Microsoft Word 2003, 2007, Microsoft Word 2010, Microsoft Word 2013中打开RTF文件。
* 部署Enhanced Mitigation Experience Toolkit。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://technet.microsoft.com/security/bulletin/Linux Kernel “keyring_detect_cycle_iterator（）”拒绝服务漏洞D-Link DIR-600L跨站请求伪造漏洞相关资讯 Word漏洞

Microsoft Word文件转换远程代码执（04/10/2014 18:09:18）
Microsoft Word内存破坏漏洞（CVE- （01/15/2014 12:20:34）
Microsoft Office Word堆溢出漏洞（（11/14/2013 07:17:46）

MS Word 0day漏洞被用于发动针对性（03/25/2014 17:09:02）
Microsoft Word ".doc"文件远程拒（11/20/2013 16:06:29）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容