WPS Office for windows在處理某種OLE機制遠端程式碼漏洞

漏洞描述:

wps office軟體是由金山辦公室軟體有限公司自主研發的一款辦公室軟體套裝,可實現辦公室軟體最常用的文字、表格、演示等多種功能,涵蓋windows、macos、Linux、android、iOS及鴻蒙等平台
WPS office for windows在處理某種OLE(object linking and enbedding)中文名為「物件連結與嵌入」)時存在邏輯漏洞,攻擊者可以利用該漏洞專門建構惡意PPS、PPSX文件(一種開啟即放映的簡報格式),如果使用者在開啟該文件後播放時滑鼠移動或點擊對應OLE區域,則會聯網從遠端伺服器下裁惡意程式碼並執行。

受影響版本:

軟體名稱 平台 版本號
WPS Office 2019個人版 Windows 低於11.1.0.12116 (含)
WPS Office 2019企業版 Windows 低於11.8.2.11707 (含)

漏洞影響:

WPS office for windows在處理某種OLE(object linking and enbedding)中文名為「物件連結與嵌入」)時存在邏輯涮洞,攻擊者可以利用該漏洞專門建構惡意PPS或PPSX文件(一種開啟即放映的簡報格式)。
在通常的攻擊場景下,使用者收到一個包含惡意程式碼的或」障文檔(一種開啟即放映的簡報格式),如果使用者在開啟該文件後播放時滑鼠移動或點擊對應OLE區域,則會網路從遠端伺服器下載惡意程式碼並執行,此時下載後門程式並投放在系統啟動目錄,攻擊者進而在使用者重新啟動電腦時控制使用者電腦。

升級方案:

如果您正在使用WPS office的客製化版本,請您聯絡我們技術工程師以取得最新版本。
如果您正在使用WPS office的個人版或企業版,您可以透過https://www.wps.cn取得最新版本進行升級.

原创文章,作者:SnowFlake,如若转载,请注明出处:https://cncso.com/tw/wps-office-for-windows-ole-rce-html

讚! (1204)
以前的 2022年7月26日下午6:01
下一個 2022年8月15日上午12:00

相關推薦