| CVE編號 | CVE-2014-6360;CVE-2014-6361 |
|---|---|
| 影響產品 | 對於所有受支援版本的 Microsoft Excel 2007、Microsoft Excel 2010、Microsoft Excel 2013、Microsoft Excel 2013 RT 和 Microsoft Office 相容性套件 ,此資訊安全更新的等級為「重要」。 |
| 解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。 |
| 張貼日 | 2014-12-09 |
| 上稿單位 | TWCERT/CC |
這個資訊安全更新可解決 Microsoft Excel 中兩項未公開報告的資訊安全風險。如果攻擊者說服使用者在受影響的 Microsoft Office 軟體版本中開啟或預覽蓄意製作的 Microsoft Excel 檔案,資訊安全風險可能會允許遠端執行程式碼。成功利用這些資訊安全風險的攻擊者可以取得與目前使用者相同的使用者權限。如果目前的使用者以系統管理的使用者權限登入,攻擊者接下來就能安裝程式,並檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的客戶,其受影響的程度比擁有系統管理權限的使用者要小。
此資訊安全更新可修正 Microsoft Excel 剖析蓄意製作之 Office 檔案的方式,進而解決資訊安全風險。