TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-09-14
標題	Microsoft 資訊安全公告 MS11-072 - 重要
CVE	CVE-2011-1986;CVE-2011-1987;CVE-2011-1988;CVE-2011-1989;CVE-2011-1990
BID
影響平台	對於所有受支援版本的 Microsoft Excel 2003、Microsoft Excel 2007、Microsoft Office 2007、Microsoft Excel 2010、Microsoft Office 2010、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac 和 Microsoft Office for Mac 2011；Open XML File Format Converter for Mac；以及所有受支援版本的 Microsoft Excel Viewer、Microsoft Office Compatibility Pack、安裝在 SharePoint Server 2007 上的 Microsoft Excel Services、安裝在 SharePoint Server 2010 上的 Microsoft Excel Services，以及 Microsoft Excel Web App 2010，
說明	這個資訊安全更新可解決 Microsoft Office 中五項未公開報告的資訊安全風險。如果使用者開啟蓄意製作的 Excel 檔案，上述資訊安全風險可能會允許遠端執行程式碼。成功利用這類任一資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。安裝和設定 Office 檔案驗證 (OFV) 來防止開啟可疑的檔案，可阻止攻擊模式利用 CVE-2011-1986 和 CVE-2011-1987 中說明的資訊安全風險。本更新藉由修正 Microsoft Excel 管理記憶體中物件的方式、編列多種記憶體位置索引的方式、剖析 Excel 檔案內特定記錄的方式、處理特定類型條件運算式的方式、以及在陣列索引值上進行界限檢查的方式，進而解決前述資訊安全風險。
解決方式	客戶可設定自動更新，藉由使用 Microsoft Update 服務，線上檢查來自於 Microsoft Update 的更新。客戶若已啟用自動更新，且設定線上檢查來自於 Microsoft Update 的更新，通常無需採取任何行動，因為將會自動下載和安裝此資訊安全更新。沒有啟用自動更新的客戶則必須檢查來自於 Microsoft Update 的更新，並手動安裝更新。如需在受支援版本的 Windows XP 和 Windows Server 2003 中自動更新特定設定選項的相關資訊，請參閱 Microsoft 知識庫文件編號 294871。如需在受支援版本的 Windows Vista、Windows Server 2008、Windows 7 及 Windows Server 2008 R2 中自動更新的相關資訊，請參閱瞭解 Windows 自動更新。
相關資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms11-072
相關修正資訊連結