Microsoft Word RTF文件解析错误代码执行0day漏洞

发布日期：2014-03-25

CVE ID：CVE-2014-1761

受影响的软件及系统：
====================
Microsoft Word 2003 Service Pack 3
Microsoft Word 2007 Service Pack 3
Microsoft Word 2010 Service Pack 1 (32-bit editions)
Microsoft Word 2010 Service Pack 2 (32-bit editions)
Microsoft Word 2010 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (64-bit editions)
Microsoft Word 2013 (32-bit editions)
Microsoft Word 2013 (64-bit editions)
Microsoft Word 2013 RT
Microsoft Word Viewer
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Office for Mac 2011
Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
Word Automation Services on Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 2
Microsoft Office Web Apps Server 2013

综述：
======
Microsoft Word 是微软公司的一个文字处理软件。

Microsoft Word存在一个远程代码执行0day漏洞，微软已经发现有攻击者在利用此漏洞进行攻击，目前微软还没有提供正式补丁。

强烈建议Word用户参照解决方法部分的措施进行必要的防护，并在微软正式补丁发布后及时升级。

分析：
======
Microsoft Word在解析畸形的RTF格式数据时存在错误导致内存破坏，使得攻击者能够执行任意代码。当用户使用Microsoft Word受影响的版本打开恶意RTF文件，或者Microsoft Word是Microsoft Outlook的Email Viewer时，用户预览或打开恶意的RTF邮件信息，攻击者都可能成功利用此漏洞，从而获得当前用户的权限。值得注意的是，Microsoft Outlook 2007/2010/2013默认的Email Viewer都是Microsoft Word。

解决方法：
==========
在厂商补丁发布之前，我们建议用户可以采用如下防护措施:

* 禁止Mircosoft Word打开RTF文件。建议使用微软提供的FixIt工具: d96K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3K9$3u0Q4x3V1j5J5z5e0f1K6x3o6V1#2

* 在Mircosoft Word信任中心设置总是在保护视图(Protected View)打开RTF文件。

* 采用厂商提供的Enhanced Mitigation Experience Toolkit (EMET)工具。
  
  增强缓解体验工具包（EMET）是一个实用工具，用于防止软件中的漏洞被成功利用。
  从如下网址下载增强缓解体验工具包：
  45dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6G2i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6Y4N6D9K9h3&6C8i4K6u0r3i4K6y4r3e0r3W2F1K9@1W2p5i4K6y4p5x3U0l9H3x3U0t1H3i4K6t1$3j5$3I4U0K9h3c8Q4x3@1b7H3P5o6b7H3z5b7`.`.
  
  安装以后运行，在"Quick Profile Name"中选择Recommended security  settings，即可获得相应的防护。

厂商状态：
==========
厂商已发布安全公告和临时解决方案，目前还没有发布补丁。

厂商安全公告：
80dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8U0t1&6y4e0x3H3z5e0f1`.

FixIt Tool:
334K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3K9$3u0Q4x3V1j5J5z5e0f1K6x3o6V1#2

附加信息：
==========
1. 2d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2N6r3g2U0K9r3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0Q4x3V1k6K6M7X3c8Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9I4y4q4)9J5c8U0l9K6i4K6u0r3x3U0c8Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5k6r3q4V1N6X3W2K6L8%4u0&6i4K6u0V1x3U0V1#2x3K6l9&6y4g2)9J5k6s2u0W2j5$3!0E0L8h3g2F1k6r3q4@1K9h3!0F1i4K6u0V1N6r3!0Q4x3X3c8K6N6r3q4&6i4K6u0V1M7s2u0G2N6r3g2U0N6r3g2V1i4K6u0V1j5h3&6V1i4K6u0V1k6X3!0J5i4K6u0V1k6r3g2@1k6h3y4@1K9h3!0F1M7#2)9J5k6h3q4K6M7s2R3`.
2. e0cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8U0t1&6y4e0x3H3z5e0f1`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课