3月14日，微软安全中心发布了2006年3月漏洞安全公告：MS06-012危害等级为“严重”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS06-012
名称： Microsoft Office 中的漏洞可能允许远程执行代码
KB编号： 905413
等级：严重

摘要：

　　此更新可消除一个秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

　　在 Office 的容易受攻击版本上，如果用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以完全控制客户端工作站。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

　　我们建议用户立即安装此更新。

受影响的软件：

·Microsoft Office 2000 Service Pack 3
　·Microsoft Word 2000
　·Microsoft Excel 2000
　·Microsoft Outlook 2000
　·Microsoft PowerPoint 2000
　·Microsoft Office 2000 MultiLanguage Packs
·Microsoft Office XP Service Pack 3
　·Microsoft Word 2002
　·Microsoft Excel 2002
　·Microsoft Outlook 2002
　·Microsoft PowerPoint 2002
　·Microsoft Office XP Multilingual User Interface Packs
·Microsoft Office 2003 Service Pack 1 或 Service Pack 2
　·Microsoft Excel 2003
　·Microsoft Excel 2003 Viewer
·Microsoft Works Suite：
　·Microsoft Works Suite 2000
　·Microsoft Works Suite 2001
　·Microsoft Works Suite 2002
　·Microsoft Works Suite 2003
　·Microsoft Works Suite 2004
·Microsoft Office X for Mac
　·Microsoft Excel X for Mac
·Microsoft Office 2004 for Mac
　·Microsoft Excel 2004 for Mac

不受影响的软件：

·Microsoft Office Excel 2000 Viewer
·Microsoft Office Excel 2002 Viewer
·Microsoft Word 2003
·Microsoft Outlook 2003
·Microsoft Office PowerPoint 2000

严重等级和漏洞标识：

减轻影响的方式：

带有格式错误的命名区域的 Microsoft Office Excel 远程执行代码漏洞 (CVE-2005-4131) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

带有格式错误的图表对象的 Microsoft Office Excel 远程执行代码漏洞 (CVE-2006-0028) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

带有格式错误的公式或列描述的 Microsoft Office Excel 远程执行代码漏洞 (CVE-2006-0029) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

带有格式错误的图形的 Microsoft Office Excel 远程执行代码漏洞 (CVE-2006-0030) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

带有格式错误的记录的 Microsoft Office Excel 远程执行代码漏洞 (CVE-2006-0031) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

格式错误的传送名单远程执行代码漏洞 (CVE-2006-0009) 的缓解因素：
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·在 Office XP 和 Office 2003 上，此漏洞无法通过基于 Web 的攻击情形自动加以利用。 攻击者必须拥有一个网站，并在上面放置用来尝试利用此漏洞的 Office 文件。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。
·当运行 Office XP 或 Office 2003 时，此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。