VULHUB ™

Microsoft Office Web Components (OWC)是一套ActiveX对象，使用Spreadsheets、Charts、Pivot tables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICE XP下都默认安装，也可以独立的下载使用。 Microsoft Office Web Components (OWC9和OWC10)中在处理Spreadsheet组件中存在漏洞，可导致远程攻击者利用URL重定向获得用户系统本地文件内容信息。 OWC9和OWC10中的Range对象的\"LoadText\"模式在第一个参数中接收URL信息，如果提供的URL与当前文档不在同一域中就会返回错误。 但是这个保护可以通过提供一个重定向到本地或者远程文件的URL来绕过。OWC被欺骗认为URL是安全的并装载文件内容到spreadsheet中，攻击者可以获取这些文件内容信息并传送给服务器。

Microsoft Office Web Components (OWC)是一套ActiveX对象，使用Spreadsheets、Charts、Pivot tables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICE XP下都默认安装，也可以独立的下载使用。 Microsoft Office Web Components (OWC9和OWC10)中在处理Spreadsheet组件中存在漏洞，可导致远程攻击者利用URL重定向获得用户系统本地文件内容信息。 OWC9和OWC10中的Range对象的\"LoadText\"模式在第一个参数中接收URL信息，如果提供的URL与当前文档不在同一域中就会返回错误。 但是这个保护可以通过提供一个重定向到本地或者远程文件的URL来绕过。OWC被欺骗认为URL是安全的并装载文件内容到spreadsheet中，攻击者可以获取这些文件内容信息并传送给服务器。