格式不正确的网络请求可能会导致办公室 v。 X for Mac 失败
发布时间: 2002 年 2 月 6 日 |更新时间:2003 年 5 月 9 日
版本: 1.1
最初发布: 2002 年 2 月 6 日
更新时间: 2003 年 5 月 9 日
总结
谁应阅读此公告:Microsoft® 办公室 v 的用户。 X for Mac
漏洞的影响: 拒绝服务
最大严重性分级: 低
建议:办公室 v 的用户。 X 应考虑应用修补程序。
受影响的软件:
- Microsoft 办公室 v. X
常规信息
技术详细信息
技术说明:
办公室 v. X 包含网络感知的反盗版机制,该机制使用在本地网络上运行的同一产品标识符(PID)检测办公室的多个副本。 此功能称为“网络产品标识”(PID)检查器,宣布办公室自己的唯一产品 ID,并定期侦听其他公告。 如果检测到重复的 PID,办公室关闭。
安全漏洞因网络 PID 检查器中的缺陷而产生。 具体而言,网络 PID 检查器无法正确处理特定类型的格式不正确的公告 - 接收通知会导致网络 PID 检查器失败。 当网络 PID 失败时,办公室 v。 X 应用程序也会失败。 如果有多个办公室 v。 收到数据包时,X 应用程序正在运行,会话期间启动的第一个应用程序会失败。 攻击者可以使用此漏洞导致其他用户办公室应用程序失败,并丢失任何未保存的数据。 攻击者可以使用计算机的 IP 地址直接创建此数据包并将其发送到受害者的计算机。 或者,他可以将同一指令发送到广播和多播域并攻击所有受影响的计算机
缓解因素:
- 企业网络可以遵循标准防火墙做法(特别是阻止端口 2222(超过 3000 流量)来保护企业网络免受基于 Internet 的攻击。
- 最佳做法建议在外围防火墙中阻止多播和广播数据包。
- 充其量,攻击者可能会导致首次加载的办公室应用程序失败。 攻击者没有机会创建、删除或修改办公室数据。
- 即使是成功的攻击也不会对整个系统、其他应用程序或任何办公室应用程序产生任何影响,而无法加载第一个应用程序。
严重性分级:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Microsoft 办公室 v. X | 无 | 无 | 低 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。 这是拒绝服务漏洞,但有几个缓解因素只能有一个正在运行的应用程序。
漏洞标识符:CAN-2002-0021
测试的版本:
Microsoft Microsoft 办公室 X for Mac OS X、Microsoft 办公室 98 for Macintosh 和 办公室 2001 for Macintosh 测试,以评估它们是否受此漏洞影响。 以前的版本不再受支持,可能或可能不会受到此漏洞的影响。
常见问题解答
漏洞的范围是什么?
这是 拒绝服务 漏洞。 恶意用户可以使用它来导致运行办公室 X 应用程序失败,迫使用户重启应用程序。 应用程序崩溃时,任何未保存的数据都将丢失。
攻击不会影响基础操作系统的稳定性,也不会影响攻击者更改或删除数据。 此外,成功的附加可能会导致一个应用程序在计算机上失败:具体而言,第一个办公室 v。 攻击发生时加载的那些正在运行的应用程序的 X 应用程序。 所有其他办公室 v. X 应用程序将继续正常运行。
导致漏洞的原因是什么?
漏洞导致网络 PID 检查功能无法正确处理异常情况。
什么是网络 PID 检查?
Microsoft 软件的每个合法购买和安装副本都具有唯一的产品标识符(PID)。 可以通过转到“帮助”“关于”,在大多数应用程序中查看此标识符。 其中列出了唯一的 PID。
网络产品识别检查是 OS X 办公室 X 的反盗版功能。办公室 X 应用程序启动时,它会定期在本地网络上报出其 PID。 它还在本地网络上侦听新的 PID 公告。 如果在任何时候,办公室 X 的安装会检测到其自己的 PID 副本,办公室两个系统上关闭。
网络 PID 检查有什么问题?
网络 PID 检查功能存在实现缺陷。 网络 PID 检查无法正确处理格式异常的网络请求。 当出现这些情况或收到特殊格式不正确的请求时,办公室 X 不会正常处理条件并失败。
攻击者如何利用此漏洞?
攻击者可以通过以下两种方式之一发送特制的网络数据包来尝试利用此漏洞:他们可能会尝试将数据包直接发送到单个用户的计算机;或者,他们可以通过指定广播地址来尝试将此数据包发送到子网中的所有计算机。
针对单个用户的攻击将如何工作?
为了攻击单个用户的计算机,攻击者会将格式特殊的数据包发送到用户的 IP 地址。 这种类型的攻击的优点是,他可以在任何可将 IP 数据包传递到的计算机上装载攻击。 这样,攻击者就有可能在长距离上装载攻击。
但是,若要成功,攻击者需要知道目标受害者的 IP 地址。 在大多数情况下,IP 地址由动态主机配置协议 (DHCP) 分配,因此单个计算机 IP 地址可以更改。
此外,这样的定向攻击必须使用网络 PID 检查器使用的目标端口:2222 和大于 3000 的目标端口。 大多数公司会阻止高端口上的入站流量,例如最佳做法。
针对广播或多播地址的攻击将如何工作?
为了攻击子网上的许多用户,攻击者会将格式特殊的数据包发送到该网络的广播或多播地址。 此类攻击的优点是攻击者可以将恶意数据包传递到子网上的所有计算机,这可能会导致许多用户的办公室应用程序失败。
这种攻击方法的缺点是大多数路由器和防火墙不会转发多播或广播数据包。 因此,攻击者很可能只能中断单个网段上的办公室应用程序。
攻击者可以通过此漏洞执行哪些操作?
攻击者可能导致受害者计算机上的 办公室 X 应用程序失败,迫使用户重启。 虽然任何未保存的数据都将丢失,但攻击者将没有机会更改数据。 此外,攻击者无法以任何方式运行程序或破坏操作系统的稳定。
如果在启动攻击时运行多个办公室 X 应用程序,所有这些应用程序都会失败吗?
否。 只有用户加载的第一个应用程序才会失败。 当时运行的任何其他应用程序将继续正常运行。 例如,如果用户按该顺序启动 Word 和 Excel,然后收到格式不正确的数据包,Word 将失败,但 Excel 将继续正常运行。 然后,用户可以重启 Word 并继续工作。
这些情况或数据包是否可能发生意外情况?
在几乎所有情况下,网络流量或数据包都必须由恶意意图的用户手工制作。
我在电脑上运行办公室。 我是否可以受到影响?
否。 所讨论的网络 PID 检查功能仅在 办公室 v 中可用。 X
我使用的是 Mac OS X,但我使用的是 办公室 v. X 以外的办公室版本。我是否受到影响?
否。 所讨论的网络 PID 检查功能仅在 办公室 v 中可用。 X.
修补程序的作用是什么?
此修补程序允许网络 PID 检查er 在异常情况下成功运行并消除卡格式不正确的数据包,从而消除漏洞。
修补程序可用性
下载此修补程序的位置
Microsoft 办公室 v. X:
有关此修补程序的其他信息
安装平台:
此修补程序可以安装在运行 Microsoft 办公室 v 的系统上。 X for Mac Gold
**需要重新启动:**否
取代的修补程序: 无。
验证修补程序安装:
- 在 Microsoft 办公室 X:办公室 文件夹中,选择:
- Microsoft 组件插件
- ShMem.bundle
- 在“查找器”中选择该文件,从“文件”菜单中选择“显示信息”,并验证显示的版本是否为“10.0.2(1412)”。
注意:
无
本地化:
此修补程序的本地化版本在上面引用的 Macintosh 下载站点上提供。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序。
其他信息:
确认
Microsoft 感谢Marty Schoch 向我们报告此问题,并与我们合作保护客户。
支持:
- Microsoft 知识库文章Q317879讨论此问题,将在发布本公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0 (2002 年 2 月 6 日):公告已创建。
- V1.1(2003 年 5 月 9 日):更新了指向Windows 更新的下载链接。
构建于 2014-04-18T13:49:36Z-07:00</https:>