据Freebuf报道,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送。
根据百度百科介绍,WPS Office是由金山软件股份有限公司自主研发的一款办公软件套装,可以实现办公软件最常用的文字、表格、演示等多种功能。具有内存占用低、运行速度快、体积小巧、强大插件平台支持、免费提供海量在线存储空间及文档模板、支持阅读和输出PDF文件、全面兼容微软Office97-2010格式(doc/docx/xls/xlsx/ppt/pptx等)独特优势。
据称,WPS Office 2016个人版(10.1.0.6207)及之前版本和WPS Office 2016专业版(10.8.0.5715)及之前版本存在安全漏洞。WPS Office中存在越边界读取漏洞(CNNVD-201702-646)。该漏洞是由于WPS Office 文字的docReader模块在调用‘memcpy()’函数时,程序没有充分执行边界检查。导致攻击者可利用该漏洞造成拒绝服务(越边界读取)。
漏洞存在的危害有,攻击者可通过构造恶意文件,并诱导本地用户打开该文件,可造成WPS Office软件进程崩溃,同时造成部分进程数据泄露。
截至目前,WPS官方暂未修复该漏洞,但已向CNNVD反馈修复进度。在该软件发布升级版本之前,建议受影响用户不要用WPS查看来历不明的文件,以免遭受网络攻击。