漏洞信息详情

Microsoft OWC Chart组件本地文件存在性泄露漏洞

漏洞简介

Microsoft Office Web Components (OWC)是一套ActiveX对象,使用Spreadsheets、 Charts、Pivot tables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICE XP下都默认安装,也可以独立的下载使用。 Microsoft Office Web Components (OWC9和OWC10)中的Chart组件中的"Load"属性存在问题,可导致远程攻击者可以通过此属性来判断本地主机上文件是否存在。 问题存在于Microsoft Office Web Components (OWC9和OWC10)中的Chart组件中,其中的"Load"属性没有很好的对指定URL进行安全检查,可导致攻击者通过指定一URL到本地系统文件上并通过错误来判断文件是否存在。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 通过设置浏览器的安全配置来关闭执行Active X控件。 厂商补丁: Microsoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/Default.asp

参考网址

来源:US-CERT Vulnerability Note: VU#156123 名称: VU#156123 链接:http://www.kb.cert.org/vuls/id/156123 来源: security.greymagic.com 链接:http://security.greymagic.com/adv/gm008-ie/ 来源: XF 名称: owc-chart-load-exist(8784) 链接:http://xforce.iss.net/xforce/xfdb/8784 来源: BID 名称: 4454 链接:http://www.securityfocus.com/bid/4454 来源: BUGTRAQ 名称: 20020408 Multiple local files detection issues with OWC in IE (GM#008-IE) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101830175621193&w=2

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多