Microsoft 安全性公告 MS06-027
Microsoft Word 中的弱點可能會允許遠端執行程式碼 (917336)
版本: 1.3
摘要
應該閱讀此文件的對象: 使用 Microsoft Word 的客戶
弱點的影響: 遠端執行程式碼
最高的嚴重性等級: 重大
建議: 客戶應立即套用此更新程式
安全性更新取代資訊: 本公告取代了一個先前發行的安全性更新。 請參閱本公告的<常見問題集>(FAQ) 以取得完整清單。
警告: 無
已測試軟體及安全性更新下載位置:
受影響的軟體
| • | Microsoft Office 2000 Service Pack 3
| ||||||||||||||
| • | Microsoft Office XP Service Pack 3
| ||||||||||||||
| • | Microsoft Office 2003 Service Pack 1 或 Service Pack 2
| ||||||||||||||
| • | Microsoft Works Suites:
|
不受影響的軟體:
| • | Microsoft Word v. X for Mac |
| • | Microsoft Excel 2004 for Mac |
本清單所列出之軟體版本已經過測試以判斷是否受到影響。 其他版本已不再提供安全性更新支援,或是並不會受到影響。 請造訪 Microsoft 產品技術支援週期網站,以瞭解您的產品及版本的支援生命週期。
一般資訊
提要 |
與本安全性更新相關的常見問題集 (FAQ) |
弱點詳細資料 |
Microsoft Word 格式錯誤的物件指標弱點 - CVE-2006-2492 |
使用格式錯誤的物件指標的 Word 中存在遠端執行程式碼的弱點。 攻擊者可能會蓄意製作 Word 檔案來允許遠端執行程式碼,以利用此弱點。
如果使用者以系統管理的使用者權限登入,成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。
Microsoft Word 格式錯誤的物件指標弱點 - CVE-2006-2492 的緩和因素: |
利用格式錯誤的物件指標弱點 - CVE-2006-2492 進行 Microsoft Word 遠端執行程式碼的因應措施: |
Microsoft Word 格式錯誤的物件指標弱點 - CVE-2006-2492 的常見問題集: |
安全性更新資訊 |
感謝
Microsoft 感謝下列人士協助我們一同保護我們的客戶:
| • | 感謝 Information & Communication Security Technology Center 的 Shih-hao Weng 回報 Microsoft Word 錯誤格式的物件指標弱點 - CVE-2006-2492。 |
| • | 感謝 AV-Test.org 的 Andreas Marx 協助 Microsoft 解決 Microsoft Word 格式錯誤的物件指標弱點 - CVE-2006-2492。 |
取得其他安全性更新:
其他安全性問題的更新可由下列位置取得:
| • | 安全性更新可以從 Microsoft 下載中心取得。 您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。 |
| • | 客戶平台的更新程式可以從 Microsoft Update 網站取得。 |
支援:
| • | 美國及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 產品支援服務以取得技術支援。 與安全性更新有關的支援電話不另外收費。 |
| • | 不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。 與安全性更新有關的支援電話不另外收費。 如需更多關於連絡 Microsoft 技術支援的資訊,請造訪世界各地技術支援網站。 |
安全性資源:
| • | Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。 |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | Windows Update 目錄: 如需有關 Windows Update 目錄的詳細資訊,請參閱 Microsoft 知識庫文件編號 323166。 |
| • |
Software Update Services:
Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統,部署最新的重要更新程式及安全性更新程式。
若想瞭解如何透過 Software Update Services 部署安全性更新,請造訪 Software Update Services 網站。
Windows Server Update Services:
透過 Windows Server Update Services (WSUS),系統管理員可迅速可靠地將 Windows 2000 作業系統及後續系統、Office XP 及後續版本、Exchange Server 2003 及 SQL Server 2000 等最新的重大更新與安全性更新部署到 Windows 2000 及後續作業系統中。
如需更多關於利用 Windows Server Update Services 部署安全性更新的資訊,請造訪 Windows Server Update Services 網站。
Systems Management Server:
Microsoft Systems Management Server (SMS) 提供了深具彈性的企業解決方案,能夠對更新程式進行方便的管理。 利用 SMS,系統管理員能判斷有哪些 Windows 系統需要安全性更新,並控制更新程式在企業中的部署,同時將對使用者造成的干擾降到最低。 如需更多關於系統管理員如何使用 SMS 2003 部署安全性更新的資訊,請造訪 SMS 2003 的安全性補充程式管理網站。 SMS 2.0 使用者也可以利用 SMS 軟體更新服務功能套件來協助部署安全性更新。 如需關於 SMS 的詳細資訊,請造訪 SMS 網站。
注意:SMS 使用 Microsoft Baseline Security Analyzer、Microsoft Office Detection Tool 以及企業更新掃描工具,為安全性公告的更新偵測及部署作業提供相當廣泛的支援。 不過這些工具可能無法偵測部分的軟體更新。 在這些情況中,系統管理員可以利用 SMS 的清查功能,判斷特定系統所需要的更新程式。 如需這個程序的詳細資訊,請造訪這個網站。 某些安全性更新程式在電腦重新啟動之後,會需要系統管理員的權限。 系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack 和 SMS 2.0 Administration Feature Pack (英文) 提供) 來安裝這些更新。
免責聲明:
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂:
| • | V1.0 (2006 年 6 月 13 日): 公告發行。 |
| • | V1.1 (2006 年 6 月 14 日): 公告修訂: 公告修訂: 已更新 CVE-2006-2492 的<感謝>部分。 |
| • | V1.2 (2006 年 6 月 21 日): 公告修訂: 針對有關 Word 2003 的 MS06-012,已更新<這次發行的更新程式取代了哪些更新?>部分。 |
| • | V1.3 (2006 年 7 月 12 日): 針對有關 Word 2003 的 MS05-023,已更新公告的<這次發行的更新程式取代了哪些更新?>部分。 |