与此安全更新相关的常见问题解答 (FAQ):
此更新为何消除了多个已报告的安全漏洞?
此更新之所以包含对某些漏洞的支持,是因为解决这些问题所需的修改位于相关的文件中。 用户只需安装此更新就可以了,而不用安装多个几乎相同的更新。
此版本替代哪些更新?
此安全更新替代以前的一个安全更新。 下表列出了相应的安全公告 ID 和受影响的操作系统。
注意 Microsoft Works 的所有受支持版本由 MS05-035 替代。
漏洞列表:
使用格式错误的区域的 Microsoft Office Excel 远程执行代码漏洞
使用格式错误的文件格式分析的 Microsoft Office Excel 远程执行代码漏洞
使用格式错误的描述的 Microsoft Office Excel 远程执行代码漏洞
使用格式错误的图形的 Microsoft Office Excel 远程执行代码漏洞
使用格式错误的记录的 Microsoft Office Excel 远程执行代码漏洞
使用格式错误的传送名单的 Microsoft Office Excel 远程执行代码漏洞
漏洞变通办法:
不要打开或保存从不可信来源收到的 Microsoft Excel 文件。
当用户打开文件时,攻击者就有可能利用此漏洞。
缓解因素:
• 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
• 当运行 Office XP 或 Office 2003 时,此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件,以电子邮件为载体的攻击才会得逞。
• 在 Office XP 和 Office 2003 上,此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站,并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点的链接。