开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

关于WPS Office安全漏洞情况的通报

简介: 本文讲的是关于WPS Office安全漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。
+关注继续查看

本文讲的是关于WPS Office安全漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。经金山公司确认,该漏洞存在。根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201702-646。漏洞相关情况如下:

image

一、漏洞简介

WPS Office是北京金山办公软件公司研发的一套办公软件。该软件提供了办公软件最常用的文字、表格、演示等功能。

WPS Office中存在越边界读取漏洞(CNNVD-201702-646)。该漏洞是由于WPS Office文字的docReader模块在调用‘memcpy()’函数时,程序没有充分执行边界检查。导致攻击者可利用该漏洞造成拒绝服务(越边界读取)。

受影响版本如下:

1、WPS Office 2016个人版(10.1.0.6207)及之前版本;

2、WPS Office 2016专业版(10.8.0.5715)及之前版本。

二、漏洞危害

攻击者通过构造恶意文件,并诱导本地用户打开该文件,可造成WPS Office软件进程崩溃,同时造成部分进程数据泄露。

三、修复措施

1、目前,WPS官方暂未修复该漏洞,但已向CNNVD反馈修复进度,将于近期发布升级版本以修复该漏洞,建议受影响用户密切关注厂商公告或CNNVD网站:

厂商主页链接:http://www.wps.cn/
CNNVD漏洞链接:
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017020646

2、在该软件发布升级版本之前,建议受影响用户不要用WPS查看来历不明的文件。

本报告由CNNVD技术支撑单位—西安四叶草信息技术有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

原文发布时间为: 二月 21, 2017
本文作者:Martin
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/23027.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
核心:探索支付宝小程序:如何与前端工程结合?
核心:探索支付宝小程序:如何与前端工程结合?
197 0
一种通用防SQL注入漏洞程序(Global.asax方式)
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。
851 0
微软忘记修复Mac Office2004/2008安全漏洞
11月11日消息,微软本周二修复了Mac版本的Office套装软件中的4个安全漏洞。但是,微软没有修复Mac Office 2004和2008中的安全漏洞。 Mac Office 2011是在10月26日发布的。
667 0
+关注
9363
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载