低危 Sun OpenOffice.org VBA 宏安全设置绕过漏洞

CVE编号

CVE-2010-0136

利用情况

暂无

补丁情况

官方补丁

披露时间

2010-02-17
漏洞描述
OpenOffice.org(OOo)是美国阿帕奇(Apache)软件基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。
OpenOffice.org没有适当的强制启用Visual Basic for Applications (VBA) 宏安全设置,存在VBA 宏安全设置绕过漏洞。远程攻击者可以通过伪造文档,运行任意宏。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://lists.opensuse.org/opensuse-security-announce/2010-03/msg00005.html
http://secunia.com/advisories/38695
http://secunia.com/advisories/38921
http://securitytracker.com/id?1023588
http://www.debian.org/security/2010/dsa-1995
http://www.mail-archive.com/debian-openoffice%40lists.debian.org/msg23178.html
http://www.mandriva.com/security/advisories?name=MDVSA-2010:221
http://www.securityfocus.com/bid/38245
http://www.ubuntu.com/usn/USN-903-1
http://www.vupen.com/english/advisories/2010/0635
http://www.vupen.com/english/advisories/2010/2905
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sun openoffice.org 2.0.4 -
运行在以下环境
应用 sun openoffice.org 2.4.1 -
运行在以下环境
应用 sun openoffice.org 3.1.1 -
运行在以下环境
系统 opensuse_11.0 OpenOffice_org * Up to
(excluding)
2.4.0.14-1.6
运行在以下环境
系统 opensuse_11.1 OpenOffice_org * Up to
(excluding)
3.0.0.9-1.11.23
运行在以下环境
系统 opensuse_11.2 OpenOffice_org * Up to
(excluding)
3.1.1.4-1.2.2
运行在以下环境
系统 suse_10 OpenOffice_org-cs * Up to
(excluding)
3.2-0.6.1
阿里云评分
3.1
  • 攻击路径
    本地
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-264 权限、特权和访问控制
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
阿里云安全产品覆盖情况