关于WPS Office安全漏洞情况的通报

最新推荐文章于 2023-11-08 10:31:45 发布
最新推荐文章于 2023-11-08 10:31:45 发布
阅读量718 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/214684
版权

本文讲的是关于WPS Office安全漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。经金山公司确认,该漏洞存在。根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201702-646。漏洞相关情况如下:

image

一、漏洞简介

WPS Office是北京金山办公软件公司研发的一套办公软件。该软件提供了办公软件最常用的文字、表格、演示等功能。

WPS Office中存在越边界读取漏洞(CNNVD-201702-646)。该漏洞是由于WPS Office文字的docReader模块在调用‘memcpy()’函数时,程序没有充分执行边界检查。导致攻击者可利用该漏洞造成拒绝服务(越边界读取)。

受影响版本如下:

1、WPS Office 2016个人版(10.1.0.6207)及之前版本;

2、WPS Office 2016专业版(10.8.0.5715)及之前版本。

二、漏洞危害

攻击者通过构造恶意文件,并诱导本地用户打开该文件,可造成WPS Office软件进程崩溃,同时造成部分进程数据泄露。

三、修复措施

1、目前,WPS官方暂未修复该漏洞,但已向CNNVD反馈修复进度,将于近期发布升级版本以修复该漏洞,建议受影响用户密切关注厂商公告或CNNVD网站:

厂商主页链接:http://www.wps.cn/
CNNVD漏洞链接:
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017020646

2、在该软件发布升级版本之前,建议受影响用户不要用WPS查看来历不明的文件。

本报告由CNNVD技术支撑单位—西安四叶草信息技术有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

原文发布时间为: 二月 21, 2017
本文作者:Martin
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/23027.html

weixin_33713503
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】2023HVV WPS Office 远程代码执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
09-08 2838
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE。
WPS Office 代码执行漏洞(QVD-2023-17241)
08-13
最近,一个名为“WPS Office 代码执行漏洞 (QVD-2023-17241)”的安全威胁浮出水面,它可能导致恶意代码在用户的系统上执行,对用户的数据安全构成严重威胁。 **漏洞概述** 该漏洞主要存在WPS Office的文件解析...
WPS出现0day漏洞,升级保障安全,速速行动
didiplus
08-11 1590
近日,监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件;目前已经发现了该Oday漏洞的在也利用。
wps 2012-2013 通杀漏洞(CVE-2013-3934)
weixin_30335353的博客
12-16 297
测试方法: 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! #!/usr/bin/python # Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH) # Version: 2012 8.1.0.3385 # Date: 2013-1...
WPS Office 漏洞复现
08-10 1563
WPS Office是金山软件公司开发的,中国领先的办公软件套件,包含文字、表格和演示三个组件,支持创建、编辑各种文档,并具有强大的数据计算、统计和分析功能。其特点包括全面支持PPT动画效果、支持文档编辑和阅读模式、支持共享播放和Airplay、DLNA播放PPT等。WPS Office还支持新建Excel文档、查看加密文档、筛选活动单元格所在行列、自由调整行高列宽等功能。
word嵌入对象依损坏_CVE202025291:金山WPS Office远程堆损坏漏洞分析
weixin_39882870的博客
11-21 450
更多全球网络安全资讯尽在邑安全前言这部分是关于WPS Office的简介,外国人自是要简单了解一下的,至于国人,duck不必吧,因此略去。WPS Office软件存在一个远程执行代码漏洞,对于特制的Office文件,不正确处理内存中的对象会触发此漏洞。利用此漏洞可以在当前用户的上下文中运行任意代码。但是利用不成功的话,可能会导致拒绝服务。漏洞产品:WPS Office影响版本:...
WPS office综合诊断修复工具
08-14
WPS Office是一款流行的办公软件套装,它包含了文字处理、电子表格、演示文稿等多种功能,类似于微软的Office。然而,用户在使用过程中可能会遇到各种问题,如程序崩溃、默认格式设置异常或注册表错误等。为了解决...
WPS?Office?_wps_wpsoffice_mile5st_
10-03
WPS Office 2016安全可靠金山流式办公套件白皮书-For Linux》是一份详尽介绍WPS Office在Linux平台上的应用和安全性的专业文档。该文档针对的是WPS Office 2016版本,是金山软件为Linux用户特别定制的办公解决方案...
WPSoffice在线预览编辑
07-21
5. **安全性**:WPS Office 在线预览编辑考虑到了数据安全问题,提供了加密传输和访问权限管理,确保只有被授权的用户才能查看和编辑文档。同时,用户可以设置文档的访问密码,保护敏感信息不被泄露。 6. **兼容性*...
WPS Office Pro.10.8.0.6470
06-11
WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro.10.8.0.6470WPS Office Pro....
WPS office 最新未公开 0Day漏洞警示
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-23 1659
0day 漏洞可以由黑客或攻击者利用来攻击他们的目标,可以通过不同的方式来实现,例如,攻击者可以利用远程漏洞攻击,通过恶意的网络链接或 e-mail 附件来攻击目标,或者利用本地漏洞攻击,在目标系统上安装木马程序或其他恶意程序。近日,网传监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件,高危级别,官方尚未对此发布修复漏洞,目前建议只能临时弃用wps或者不要点开未知文件,尤其在线网络文件,中招概率极大。
WPS漏洞复现(不含漏洞分析)
qq_29616295的博客
08-11 1077
想搞明白这个漏洞的原理必须明白clientweb.docer.wps.cn.{xxxxx}wps.cn在WPS中究竟是如何调用的远程服务,怎么去修改docx中的相关模块(exp中有),和使用js执行calc的原理(在1.html中,不太懂js看不太懂),等工作结束了再详细分析(懂得都懂)
路由界的 2012,WPS一键加密惊爆安全漏洞
eager7的专栏
12-05 1064
WPS加密惊爆安全漏洞 当今社会,生活节奏越来越快,一款网络设备是不是具有简单易用的特性,甚至决定了它的生存及竞争能力。对于无线路由器来讲,也是如此。从起初的手动加密到现在主流路由都具有的WPS一键加密,加密方式是变得简单快捷了,但安全性能是不是仍旧稳定可靠呢?答案不再是肯定的了。下面我们就首先来看看由美国计算机应急准备小组(US-CERT) 安全研究员Stefan Viehbock所发
WPS技术浅谈:Wi-Fi WPS安全设置有漏洞
GiNeo的专栏
06-18 1802
原文:http://wireless.it168.com/a2012/0210/1309/000001309770.shtml WPS(Wi-FiProtected Setup,WiFi保护设置),它是由WiFi联盟组织实施的可选认证项目,它主要致力于简化无线网络设置及无线网络加密等工作。有了WPS“一键加密”,这个过程就变得异常简单了,我们只需按一下无线路由器上的WPS键,就能轻松快速地完成无
【高危】 WPS Office 存在代码执行漏洞
murphysec的博客
08-10 1415
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。避免点击带有超链接的图片或对象。
HVV爆火漏洞:最新 WPS RCE (远程命令执行) 复现
最新发布
qq_53058639的博客
11-08 120
最近HVV爆出的很火的WPS命令执行漏洞,其实并不是0DAY,早在2019年就出现了,只不过最近EXP才公开。接下来我们来复现一遍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值