软件巨人微软公司6月19号发布了一个最新的安全公告MS02-031 031，提供Excel及Word的累积补丁。

　　适用对象：使用微软Excel及Word的用户

　　漏洞影响：会让黑客任意运行代码

　　重要程度：中

　　受影响系统：

　　Microsoft Excel 2000 for Windows

　　Microsoft Office 2000 for Windows

　　Microsoft Excel 2002 for Windows

　　Microsoft Word 2002 for Windows

　　Microsoft Office XP for Windows

　　漏洞描述：

　　这是一套累积补丁包，包括了以前发布的一些补丁。另外，新发布的补丁还可以修补最新发现的能让黑客在用户机器上运行宏代码的安全漏洞。黑客的宏代码可使其拥有用户的一切权限，使得攻击者能在用户的机器上进行任何操作。漏洞如下：

　　1.Excel宏执行漏洞，存在于内部宏如何与被处理的对象相关联。当用户点击工作簿中的某个对象时，该漏洞能让宏执行并且绕过宏安全模式；

　　2.Excel宏执行漏洞，存在于通过点击图形格式的超级链接打开工作簿时，宏是如何在工作簿中处理的。可能会使得工作簿中的宏调用后自动运行。

　　3.HTML脚本执行漏洞，当含有HTML脚本的XSL样式表的Excel工作簿打开时，此漏洞就会出现。XSL样式表中的脚本可在本地计算机区中被运行；

　　4.最早在MS-071安全公告中出现的"Word Mail Merge"漏洞的新变形。如果用户系统上装有Microsoft Access并且打开了以HTML格式保存的邮件合并文档时，该新变形的漏洞能使黑客的宏代码自动运行。

　　利用漏洞的条件：

　　Excel内部宏漏洞：

　　利用此漏洞，需要用户接受并打开来自黑客的工作簿，并且点击了工作簿中的一个对象；

　　超级链接Excel工作簿宏迂回漏洞

　　1.利用此漏洞需要用户接受并打开来自黑客的工作簿，并且点击有超级链接的图形样式；

　　2.黑客的目的工作簿必须到达用户，无论是在本地系统或网络上。

　　Excel XSL样式表脚本执行漏洞：

　　1.需要用户接受并打开来自黑客的工作簿才能利用此漏洞

　　2.另外，用户须通过选择非默认选项来承认某个安全警告；

　　MS00-071的变形，Word Mail Merge漏洞

　　1.Word邮件合并文档必须是以HTML格式保存。由于Word并不是以HTML格式默认保存，用户必须选择在Word中打开文档或承认一个安全警告；

　　2.需要本地系统安装了Access

　　3.黑客的数据源能够通过网络到达用户手中。

　　安装补丁：

　　Office产品更新站点：

　　http://office.microsoft.com/productupdates/default.aspx

　　Excel2000:

　　客户机安装：http://office.microsoft.com/downloads/2000/exc0901.aspx

　　管理端安装：http://www.microsoft.com/office/ork/xp/journ/exc0901a.htm

　　Excel 2002

　　客户机安装：http://office.microsoft.com/downloads/2002/exc1002.aspx

　　管理端安装：http://www.microsoft.com/office/ork/xp/journ/exc1002a.htm

　　Word 2002

　　客户机安装：http://office.microsoft.com/downloads/2002/wrd1004.aspx

　　管理端安装：http://www.microsoft.com/office/ork/xp/journ/wrd1004a.htm

　　Office 2000 Service Pack 2

　　Office XP Service Pack 1