中文描述:

Microsoft Word和EXCEL是一款流行的办公软件。INCLUDETEXT字段代码用来插入任意本地文件到文档中。 INCLUDETEXT字段代码(或称外部更新)存在安全问题，远程攻击者可以利用这个漏洞获取目标用户系统中的任意文件内容。 Word和Excel提供一种机制可以把一个文档的数据插入和在其他文档中更新，这种机制在Word中成为字段代码(field codes)而在Excel成为外部更新，可以自动的减少用户手工操作数量。如Word字段代码可以在一个文档中插入标准法律声明段落，而在Excel中使用外部更新可以自动在不同表单中更新图表等。 恶意使用字段代码和外部更新可以导致在没有任何提示的情况下窃取用户信息。部分事件可以出发字段代码和外部更新更新操作，如保存文档或者用户手工更新链接。一般来说用户会注意到这些更新的操作，但是，构建特殊的字段代码或者外部更新可以在没有任何指示的情况下发生，导致攻击者建立的恶意文档在打开的时候更新文档中包含的内容。 如INCLUDETEXT字段代码(或称内部更新)可以包含在一个WORD文档中，并可以引用目标用户本地系统中的任意文件，然后目标用户把文档发送出去的时候，包含的本地文件也会发送出去。这在网络共享环境中攻击者可以利用这个漏洞获得其他用户本地系统文件。 要利用这个漏洞，攻击者可以通过构建WEB页面提供恶意WORD文档，并诱使有此漏洞的用户查看。

英文描述:

Microsoft Word and Excel allow remote attackers to steal sensitive information via certain field codes that insert the information when the document is returned to the attacker, as demonstrated in Word using (1) INCLUDETEXT or (2) INCLUDEPICTURE, aka "Flaw in Word Fields and Excel External Updates Could Lead to Information Disclosure."

CWE类型:

标签:

中文解决方案:

英文解决方案:

临时解决方案: