发布日期:2003-09-02
更新日期:2003-09-05
受影响系统:
Microsoft Access 97
Microsoft Access 2000
Microsoft Access 2002
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CAN-2003-0665
Microsoft Access Snapshot Viewer是Office 2000中的报表快照功能实现。允许没有安装Access即查看报表内容,如客户可以使用Access发送发票给客户。Snapshot Viewer包含在所有Access版本中,不过不是默认安装。Snapshot Viewer通过使用ActiveX控件实现。
Snapshot Viewer由于不正确验证部分参数,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户访问,可触发缓冲区溢出。
由于没有对文件中部分参数缺少充分的缓冲区边界检查,攻击者可以诱使用户访问包含恶意数据的WEB页面,当Snapshot Viewer解析时发生溢出,精心构建页面数据可能以用户进程权限在系统上执行任意指令。
<*来源:Microsoft Security Team (secure@microsoft.com)
链接
ASP" target=_blank>http://www.microsoft.com/technet/security/bulletin/MS03-038.asp
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS03-038)以及相应补丁:
MS03-038:Unchecked buffer in Microsoft Access Snapshot Viewer Could Allow Code Execution(827104)
链接http://www.microsoft.com/technet/security/bulletin/MS03-038.asp
补丁下载:
Access 2002:
