当前位置：首页 > 实用文档 > 其他范文> Office曝新安全漏洞

Office曝新安全漏洞

时间：2022-11-29 08:13:41 其他范文收藏本文下载本文

Office曝新安全漏洞（整理10篇）由网友“Kaitlin1990”投稿提供，以下是小编收集整理的Office曝新安全漏洞，仅供参考，希望对大家有所帮助。

Office曝新安全漏洞

篇1：Office曝新安全漏洞

3月9日，一个利用微软严重word文档格式漏洞攻击的恶意doc文档被截获，据金山毒霸反病毒专家戴光剑称，该doc文档可能与office最新安全漏洞有关。

据介绍，只要存在word文档格式漏洞的电脑都有可能受到该恶意doc文档的攻击，受攻击后的电脑，将会随机生成扩展名不固定的相关文件，用户只要将鼠标停留在该文件上，资源管理器立刻停止运行，并造成explorer.exe崩溃，

戴光剑表示，与以往的文档漏洞样本不同的是，目前这个doc漏洞攻击文件很可能只是一种广告性质，真正的病毒可能是私下交易并进行定点攻击，但一旦该漏洞被病毒恶意利用，及有可能引发大面积感染，大量用户将面临电脑被“挟持”的危险。

据悉，该漏洞涉及ms office /版本，但在微软2月公布的安全报告中没有关于该漏洞的描述。

篇2：Windows和Office存在五个安全漏洞

摘要：据外电报道，微软周二发出警告说，其Windows操作系统和Office软件存有五个“危急”安全漏洞，可以通过这些安全漏洞控制用户的电脑，

目前，全球90%的电脑所使用的操作系统均为微软Windows操作系统，

针对上述安全漏洞，微软已经发布了相关安全补丁，这也是其每月发布安全公告的一部分。当安全漏洞可以让具有破坏性的互联网蠕虫病毒在用户未进行任何操作的情况下进行复制时，微软则定义该漏洞的级别为“危急”。

这五个安全漏洞中，有两个为Windows操作系统存在的安全漏洞，其余三个为早期版本的Office软件所存在的漏洞。由于越来越多的恶意软件以Windows操作系统及微软其他软件中的漏洞为攻击目标，因此近三年多时间微软一直致力于提高其软件的安全性及可靠性。

微软最新的安全补丁可以从网站www.microsoft.com/security

篇3：Linksys路由器曝安全漏洞可被劫持

本文主要给大家详细的介绍了Linksys路由器如何进行安全漏洞的设置，并且给出了最新的路由器信息，相信看过本文会对你以后有所帮助，

安全研究人员最近表示，市面上非常流行的一款Linksys路由器存在一个安全漏洞，攻击者通过网络管理控制台可以远程劫持Linksys路由器。

研究人员Michal Sajdak警告称，Linksys WAG54G2不能正确地检查访问管理控制台的输入地址，攻击者可以通过注入Shell命令，进入路由器的Linux操作系统。如果用户没有修改默认的管理员帐号和密码的话，那么入侵者就可以轻松地利用这一漏洞对路由器进行攻击。

“当你登录到网络管理界面后，使用简单的注入技术就可以获得操作系统的高级管理权限， ” Sajdak写道， “如果用户没有更改默认用户名和密码的话，入侵者可以利用CSRF技术通过后门，进入路由器实施远程管理，还可以轻松看到路由器上正在运行的服务进程，以及其内部配置等，

”

对于局域网内的路由器用户来说，网络管理控制台是由系统默认开放的，因此只要进入了该局域网，即使没有权限的人也可以简单地对路由器进行攻击。因此从本地网络中发起路由器攻击最为容易。不过，通过利用被称为CSRF的技术或跨站点请求伪造技术，局域网外的也可以实现对路由器的远程控制。

Sajdak声称，早在3月份的时候他就已将这一安全漏洞正式通知了思科，不过截至周日这一问题仍然没有解决。因此Sajdak呼吁这款路由器的用户应尽快更改路由器管理员账号和密码。

HolisticInfoSec.org的Web应用程序专家Russ McRee也在电子邮件表示，这个漏洞与他早前在一个其他的Linksys路由器中发现的漏洞几乎是完全一样的。 “当我就WRT160N的CSRF问题向Linksys反映时，我得到的答复是他们将不会解决它。 ”他写道。

不过截至目前为止，Linksys及其母公司思科并未就此漏洞发表意见。

篇4：苹果曝出安全漏洞运行任意代码

据一家安全研究厂商上周四发布的警告性公告称，苹果一些版本的iTunes软件中存在一处危急安全缺陷，

在这一缺陷被发现数天前，苹果发布了Windows版iTune6的安全升级包。据eEye数字安全公司称，这一缺陷存在于早期版本的Windows版iTune6中，最新的安全升级包没有解决这一缺陷。

最初，eEye曾错误地在其网站上发布布告称这一缺陷影响面向所有操作系统的iTunes，后来，eEye在更正的布告中表示，迄今为止，只在Windows版本中发现了这一缺陷。但是，eEye正在进行测试，研究该缺陷是否影响在Mac操作系统上运行的iTunes版本。

eEye的产品经理史蒂夫表示，Windows版iTune6和iTune5都受到了该缺陷的影响，

他说，一旦用户点击一个恶意的网站链接或打开一封恶意电子邮件，该缺陷就能够使在用户的系统上远程启动任意的代码。史蒂夫指出，iTunes非常普及，因此潜在的受害用户群非常庞大。

苹果上周早些时候发布了Windows版iTune6的安全升级包，旨在阻止错误的helper应用软件启动、运行。helper软件能够对多个系统路径进行搜索，发现哪些软件在运行。但该缺陷能够使创造一种使iTunes启动其它软件的方式。

苹果公司的代表没有对此发表评论。据苹果公司网站上发布的消息称，它的一贯政策是，在进行调查和发布必要的补丁软件前，它不会讨论或证实安全问题。

eEye表示，在厂商发布修正缺陷的补丁软件前，它不会披露有关缺陷的更详细资料。

篇5：火狐曝安全漏洞密码自动管理暂停使用

火狐浏览器（firefox）制造商Mozilla网站上公布的一则消息称，该浏览器上的密码自动管理器并不安全，

据外电报道，火狐可以存储用户在某个具体网站上输入的用户名和密码，因此用户下次使用时可以不必在输入一遍，

但Mozilla网站上公布的一个软件漏洞（bug）显示同一工具也会向仿冒网站提供密码。

发现这一问题的用户当时收到了一个仿冒Myace网页的链接。虽然该网页并没有存储在Myace的服务器上，当火狐还是自动填充了他的用户信息。

对于那些没有防范意识的用户，他们会很容易因此落入网络钓鱼或其它恶意攻击者的设下的陷阱。

Mozilla建议，在该问题被解决之前，用户应避免使用火狐上的密码自动管理器。具体做法是，打开火狐上面的工具菜单，点击“选项”，选择“安全”设置，去掉“记住密码”前面方框里的对号，然后点“OK”即可。

篇6：联众,迅雷,暴风影音等软件曝安全漏洞

第三方漏洞愈演愈烈

来自奇虎的消息称,在线游戏网站联众世界游戏大厅曝出存在安全漏洞,且正在被利用此漏洞进行木马病毒传播.

据悉,除了联众世界游戏大厅曝出存在安全漏洞外,迅雷、暴风影音、百度超级搜霸、Realplayer等多款常见软件的部分版本也存在类似的漏洞.

监测发现,联众世界的游戏大厅主程序GLWorld所安装的 ActiveX控件(HanGamePluginCn18.dll,CLSID:61F5C358-60FB-4A23-A312- D2B556620F20)在处理传送给hgs_startGame和hgs_startNotify()方式的字符串参数时存在栈溢出漏洞.如果用户受骗访问了恶意网页并向这些方式传送了超长参数的话,就会触发这些溢出,导致执行任意代码.

目前这个ActiveX漏洞正在被木马积极的利用.当木马入侵时,会试图从mm.sqmnoopt.com下载恶意文件;此外还会从cnxz.kv8.info下载配置文件,该文件中包含有从 444.sqmnoopt.com和2.kv8.info所下载的27个恶意可执行程序的链接.

专家提醒,当此类ActiveX安全漏洞曝出的时候,第三方软件官方可能还没有及时反应对漏洞进行修补,因此针对此类0DAY漏洞必须禁止IE运行相关的ActiveX控件,临时堵住利用漏洞挂马的方式.

据悉,当大部分用户已养成定时给系统打漏洞补丁的习惯后,木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道.被利用的第三方ActiveX插件漏洞, 除此次曝出的 “联众世界”游戏大厅以外,还涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中.

专家提醒用户,常用软件请尽量使用正式版本并做及时升级.针对木马主要以窃取帐号、密码隐私信息为主的特点,可以使用类似360保险箱这样的主动防御安全软件,对帐号密码进行保护,尽量避免未知木马病毒带来的危害.

篇7：Android曝安全漏洞可安装击键记录软件

安全咨询公司Security Evaluators首席分析师查理・米勒周四表示,他在谷歌Android手机平台中发现了另外一个安全漏洞,该漏洞相当严重.他建议用户,在该漏洞没有得到修正前不要使用Android浏览器.米勒去年10月份就在Android手机平台中发现了一个安全漏洞.据国外媒体报道称,米勒称,修正该漏洞的补丁软件已经出现在谷歌源代码库中,但还没有通过T-Mobile的网络下载到用户手机上.

查看:#-002 OpenCORE insufficient boundary checking during MP3 decoding

与上一个漏洞一样,如果用户访问恶意网站, 就能够利用这一漏洞遥控用户手机浏览器、访问授权证书、安装击键记录软件.米勒说,这一漏洞尚未得到修正,他建议用户,在该漏洞没有修正前,最好不要使用Android手机上网冲浪.

谷歌Android安全工程师里奇・坎宁斯表示,PacketVideo 2月5日就开发出了补丁软件,并在两天后修正了Open Source Android.谷歌已经将补丁软件提供给T-Mobile,何时向用户提供这款补丁软件取决于T-Mobile.

T-Mobile代表未就此置评.

坎宁斯表示,由于Android采用了“沙盒”架构, 利用该漏洞只能影响到浏览器,对手机上的其他数据和功能没有任何影响.

米勒表示,他1月21日就向谷歌通报了这一问题.新漏洞并非出现在谷歌开发的代码中,而是出在多媒体软件公司PacketVideo为Android项目贡献的代码中.

篇8：Office 发现重大安全漏洞可致DDos攻击

安全专家近日警告说，微软Office软件中的缺陷可在一些较老版本的办公软件上导致拒绝服务(DDos)攻击，

安全专家发布的安全公告称，Office 2000中发现了缓冲溢出缺陷，这种缺陷也可能在Office XP中发生。这种缺陷可以让攻击者控制用户的电脑系统。专家将这种缺陷评定为“高度危急”。

该专家称，该软件缺陷是由微软Word在解析文档时管理输入时发生的，

据称该缺陷可通过被特别破坏的文档被攻击者利用。安全公司推荐说，在补丁程序推出之前，用户只能打开信赖的Word文档。

微软公司称，公司正在调查这个缺陷问题，但是微软还要求缺陷发现者不要在公开之前给微软制造影响。

微软公司代表在电子邮件中说：公司还没有得到所报道缺陷被主动利用的任何消息，也没有用户在这个时间内受到影响的信息，但是公司正在积极地调查公开报道所提到的缺陷。软件制造商还指出，公司关心的是在缺陷被公布之前，不要公开通知公众。

篇9：iOS 7邮件系统曝安全漏洞所有附件均未加密

新浪科技讯北京时间5月5日晚间消息，德国NESO安全实验室专家安得利亚斯·库尔茨(Andreas Kurtz)近日在iOS 7中发现一处安全漏洞，即iOS 7设备所发送的电子邮件附件均为未加密状态，

苹果公司之前在宣传iOS 7时，还特别强调了其数据保护机制，称对数据进行了加密，

但库尔茨的测试结果显示，通过iOS 7设备发送的电子邮件附件均未加密。

库尔茨用一台升级到iOS 7.1的iPhone 4证实了这一漏洞。升级后，库尔茨设置了一个IMAP邮箱帐号，并测试了带有附件的邮件。关机后访问文件系统时，他发现文件是用明文显示的。

库尔茨称，该漏洞至少影响iOS 7.0.4至最新的7.1.1版本。库尔茨还称，他之前已经将该漏洞报告给苹果公司。苹果的公司的答复是，已经了解该问题，但何时修改该漏洞还没有明确时间表。(李明)

篇10：CA杀毒软件曝严重安全漏洞可导致系统崩溃

6月7日消息，据国外媒体报道，安全软件厂商CA日前提醒用户，其多款杀毒软件存在安全漏洞，可被利用，在用户计算机中执行恶意代码，

CA日前表示，其多款杀毒软件的引擎存在缓冲溢出漏洞。可以通过发送文件名过长的CAB文件来利用该漏洞。

如果该漏洞被成功利用，那么将允许以系统级权限在用户计算机中执行恶意代码，

或者至少发动拒绝服务攻击，最终导致系统崩溃。

据悉，杀毒引擎版本低于30.6的均受该漏洞影响，主要产品包括CA Antivirus for the Enterprise (r8 and r8.1)、CA Antivirus 2007 (v8)、CA Internet Security Suite 2007 (v3)、CA Secure Content Manager 8.0、CA Anti-Virus Gateway 7.1，以及BrightStor ARCserve Backup (r11.1)。

CA将该安全漏洞定级为“高”风险，即最严重的为危险级别。而赛门铁克也将其视为10个危险级别中的最高级别“10”。日前，CA已经发布了相应的补丁程序。(

★ 错误报告

★ 厕所标识语