Microsoft 安全公告 MS04-033

无。

此漏洞的影响范围有多大？
这是一个远程执行代码漏洞。 如果用户使用管理权限登录，成功利用此漏洞的攻击者可以完全控制受影响的系统，包括安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。 那些帐户被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小。

攻击者能够如何利用此漏洞？
攻击者可能在 Web 站点上具有一个恶意 Excel 文件，并诱使用户单击指向此文件的链接。 然后此文件可以执行，使攻击者可以执行他们选择的代码。 攻击者还可以通过以电子邮件的形式发送特制的文件，来尝试利用此漏洞。

受此漏洞威胁最大的系统是哪些？
工作站和终端服务器受到的威胁最大。 只有当没有足够管理凭据的用户被授予登录到服务器并运行程序的权限时，服务器才会有危险。 不过，最佳做法是不要授予这样的权限。

是否所有版本的 Office 和 Excel 都受此漏洞影响？否。 Office XP Service Pack 3、Office 2003 和 Excel 2003；Office 2003 Service Pack 1 和 Excel 2004 for Mac 不受影响。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

此更新有什么作用？
修补程序可通过确保 Excel 在打开 Excel 文件时正确验证参数来消除此漏洞。

重要事项   在您安装此更新之前，请确保符合以下要求：

有关如何确定计算机上的 Office XP 版本的其他信息，请参见 Microsoft 知识库文章 291331。

包括在将来的 Service Pack 中：

Office XP Service Pack 3 中具有此问题的修补程序

重新启动要求

无需重新启动。

删除信息

安装更新后，无法删除它。 要在安装更新前还原安装，您必须删除该软件，然后通过原始的 CD-ROM 重新安装它。

Office Update Web 站点

建议您通过 Office Update Web 站点安装 Office XP 客户端更新。 Office Update Web 站点会检测您安装的特定程序，并提示您确切安装必须安装的更新，以确保所安装的程序彻底是最新的。

让 Office Update Web 站点检测您必须在计算机上安装的更新，请访问 Office Update Web 站点，然后单击“检查更新”。 检测完成后，站点将显示供您认可的建议更新列表。 单击“Start Installation”（开始安装）以完成更新过程。

有关如何手动安装此更新的详细信息，请查看以下部分。

安装信息

此安全更新支持以下安装开关：

   /Q   指定安静模式，或在提取文件时禁止显示提示。

   /Q:U   指定用户安静模式，该模式向用户显示某些对话框。

   /Q:A   指定管理员安静模式，该模式不向用户显示任何对话框。

   /T:<full path>   指定用于提取文件的目标文件夹。

   /C 提取文件，但不安装它们。 如果不指定 /T: path，系统将提示您提供一个目标文件夹。

   /C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。

   /R:N 安装后从不重新启动计算机。

   /R:I   如果需要重新启动计算机，则提示用户重新启动，与 /Q:A 一起使用时除外。

   /R:A 安装后始终重新启动计算机。

   /R:S 安装后在不提示用户的情况下重新启动计算机。

   /N:V 不进行版本检查，在任何以前的版本上安装程序。

注意  这些开关并不一定适用于所有更新。 如果某开关不可用，则表明该功能是正确安装更新所必需的。 此外，不支持使用 /N:V 开关，它可能会导致系统无法启动。 如果安装失败，您应该咨询您的支持专业人员以了解安装失败的原因。

有关受支持的安装开关的其他信息，请参见 Microsoft 知识库文章 197147。

客户端部署信息

注意   如果安全更新已经安装在计算机上，您会收到以下错误消息：This update has already been applied or is included in an update that has already been applied（此更新已应用，或者包含在已应用的更新中）。

客户端安装文件信息

此更新的英文版具有下表所列的文件属性（或更高版本）。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Office XP SP2 和 Excel 2002：

日期         时间   版本          大小        文件名 ---------------------------------------------------------- 05-May-2004  04:47  10.00.6713.0000 9,190,080     Excel.exe

验证更新安装

如果从服务器位置安装了应用程序，则服务器的管理员必须利用管理更新对服务器位置进行更新，并将该更新部署到您的计算机。

安装信息

以下安装开关与管理安装有关，因为使用这些开关，管理员可以自定义从安全更新内提取文件的方式：

   /? 显示命令行选项

   /Q   指定安静模式，或在提取文件时禁止显示提示。

   /T:<full path>   指定用于提取文件的目标文件夹。

   /C 提取文件，但不安装它们。 如果不指定 /T: path，系统将提示您提供一个目标文件夹。

   /C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。

有关受支持的安装开关的其他信息，请参见 Microsoft 知识库文章 197147。

管理部署信息

要更新您的管理安装，请执行以下步骤：

此时，您的管理安装点即更新。 接下来，您必须更新原先从该管理安装中安装的工作站。 为此，请查看“工作站部署”部分。 您从该管理安装点运行的任何新安装都将包括该更新。

警告  对于您在安装更新之前从此管理安装中安装的任何工作站，如果不为该工作站完成“工作站部署”部分中的步骤，这些工作站就无法使用此管理安装执行修补 Office、新增功能等操作。

工作站部署信息

要将更新部署到客户机工作站，请单击“开始”，然后单击“运行”。 在“打开”框中键入以下命令：

msiexec /i Admin Path\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

其中 Admin Path 是 Office XP 管理安装点的路径（例如，C:\OfficeXP），MSI File 是用于 Office XP 产品的 .msi 数据库包（例如，Data1.msi），Feature List 是必须为更新重新安装的功能名称（区分大小写）的列表。 要安装所有功能，您可以使用 REINSTALL=ALL。

注意  在受管环境中工作的管理员可以在 Office Admin Update Center（Office 管理更新中心）上找到在组织内部署 Office 更新所需的完整资源。 在该站点的主页上，查看 Update Strategies（更新策略）部分以找到您要更新的软件版本。 Windows 安装程序文档也提供关于 Windows 安装程序支持的参数的其他信息。

管理安装文件信息

此更新的英文版具有下表所列的文件属性（或更高版本）。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Office XP Service Pack 2 和 Excel 2002：

日期         时间   版本          大小        文件名 ---------------------------------------------------------- 05-May-2004  04:47  10.00.6713.0000 9,190,080     Excel.exe

验证更新安装

重要事项   在您安装此更新之前，请确保符合以下要求：

有关如何确定计算机上的 Office 2000 版本的其他信息，请参见 Microsoft 知识库文章 255275。

重新启动要求

无需重新启动。

删除信息

安装更新后，无法删除它。 要在安装更新前还原安装，您必须删除该软件，然后通过原始的 CD-ROM 重新安装它。

Office Update Web 站点

Microsoft 建议您通过 Office Update Web 站点安装 Office 2000 客户端。 Office Update Web 站点会检测您安装的特定程序，并提示您确切安装必须安装的更新，以确保所安装的程序彻底是最新的。

让 Office Update Web 站点检测您必须在计算机上安装的更新，请访问 Office Update Web 站点，然后单击“检查更新”。 检测完成后，站点将显示供您认可的建议更新列表。 单击“Start Installation”（开始安装）以完成更新过程。

有关如何手动安装此更新的详细信息，请查看以下部分。

安装信息

此安全更新支持以下安装开关：

   /Q   指定安静模式，或在提取文件时禁止显示提示。

   /Q:U   指定用户安静模式，该模式向用户显示某些对话框。

   /Q:A   指定管理员安静模式，该模式不向用户显示任何对话框。

   /T:<full path>   指定用于提取文件的目标文件夹。

   /C 提取文件，但不安装它们。 如果不指定 /T: path，系统将提示您提供一个目标文件夹。

   /C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。

   /R:N 安装后从不重新启动计算机。

   /R:I   如果需要重新启动计算机，则提示用户重新启动，与 /Q:A 一起使用时除外。

   /R:A 安装后始终重新启动计算机。

   /R:S 安装后在不提示用户的情况下重新启动计算机。

   /N:V 不进行版本检查，在任何以前的版本上安装程序。

注意  这些开关并不一定适用于所有更新。 如果某开关不可用，则表明该功能是正确安装更新所必需的。 此外，不支持使用 /N:V 开关，它可能会导致系统无法启动。 如果安装失败，您应该咨询您的支持专业人员以了解安装失败的原因。

有关受支持的安装开关的其他信息，请参见 Microsoft 知识库文章 197147。

客户端部署信息

注意   如果安全更新已经安装在计算机上，您会收到以下错误消息：This update has already been applied or is included in an update that has already been applied（此更新已应用，或者包含在已应用的更新中）。

客户端安装文件信息

此更新的英文版具有下表所列的文件属性（或更高版本）。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Office 2000 和 Excel 2000：

日期         时间   版本          大小        文件名 -------------------------------------------------------- 09-Aug-2004  19:09  9.00.00.8924 7168045     Excel.exe

验证更新安装

如果从服务器位置安装了应用程序，则服务器的管理员必须利用管理更新对服务器位置进行更新，并将该更新部署到您的计算机。

安装信息

以下安装开关与管理安装有关，因为使用这些开关，管理员可以自定义从安全更新内提取文件的方式：

   /? 显示命令行选项

   /Q   指定安静模式，或在提取文件时禁止显示提示。

   /T:<full path>   指定用于提取文件的目标文件夹。

   /C 提取文件，但不安装它们。 如果不指定 /T: path，系统将提示您提供一个目标文件夹。

   /C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。

有关受支持的安装开关的其他信息，请参见 Microsoft 知识库文章 197147。

管理部署信息

要更新您的管理安装，请执行以下步骤：

[path\name of EXE file] /c /t:C:\AdminUpdate

注意  双击 .exe 文件不会提取 .msp 文件；它会将更新应用到本地计算机。 为了更新管理镜像，您必须先提取 .msp 文件。

msiexec /a Admin Path\MSI File /p C:\adminUpdate\MSP File SHORTFILENAMES=TRUE

其中 Admin Path 是您的应用程序的管理安装点的路径（例如 C:\Office2000），MSI File 是用于该应用程序的 .msi 数据库包（例如 Data1.msi），MSP File 是管理更新的名称（例如 SHAREDff.msp）。

注意  可以在命令行后附加 /qb+，以使 Administrative Installation（管理安装）对话框和 End User License Agreement（最终用户协议）对话框不出现。

此时，您的管理安装点即更新。 接下来，您必须更新原先从该管理安装中安装的工作站。 为此，请查看“工作站部署”部分。 您从该管理安装点运行的任何新安装都将包括该更新。

警告  对于您在安装更新之前从此管理安装中安装的任何工作站，如果不为该工作站完成“工作站部署”部分中的步骤，这些工作站就无法使用此管理安装执行修补 Office、新增功能等操作。

工作站部署信息

要将更新部署到客户机工作站，请单击“开始”，然后单击“运行”。 在“打开”框中键入以下命令：

msiexec /i Admin Path\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

其中 Admin Path 是 Office XP 管理安装点的路径（例如，C:\Office2000），MSI File 是用于 Office XP 产品的 .msi 数据库包（例如，Data1.msi），Feature List 是必须为更新重新安装的功能名称（区分大小写）的列表。 要安装所有功能，您可以使用 REINSTALL=ALL。

注意  在受管环境中工作的管理员可以在 Office Admin Update Center（Office 管理更新中心）上找到在组织内部署 Office 更新所需的完整资源。 在该站点的主页上，查看 Update Strategies（更新策略）部分以找到您要更新的软件版本。 Windows 安装程序文档也提供关于 Windows 安装程序支持的参数的其他信息。

管理安装文件信息

此更新的英文版具有下表所列的文件属性（或更高版本）。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Office 2000 和 Excel 2000：

日期         时间   版本          大小        文件名 ---------------------------------------------------------- 09-Aug-2004  19:09  9.00.00.8924 7168045     Excel.exe

验证更新安装