Microsoft Excel凭据缓存漏洞（MS08-043）

BUGTRAQ ID: 30641 CVE(CAN) ID: CVE-2008-3003 Excel是Microsoft Office办公软件套件中的电子表格工具。 Excel在实现访问认证时存在漏洞，如果.xlsx文件配置为不保存远程数据会话口令的话，Excel就无法正确地从connections.xml删除PWD字符串，这允许用户获得敏感信息并获得对远程数据源的访问。 Microsoft Excel 2007 SP1 Microsoft Excel 2007 Microsoft Office 2008 for Mac 临时解决方法： * 在.xlsx文件内编辑connections .xml，然后手动删除密码 Windows Shell方法： 1. 编辑之前先创建一个受影响的.xlsx文件的备份副本。 2. 在Windows XP或Windows Vista计算机上，将受影响的.xlsx文件的文件扩展名更改为.zip。 3. 使用Windows资源管理器，双击ZIP文件打开，然后双击xl文件夹。 4. 在xl文件夹中，单击“connections.xml”，然后将其从ZIP文件拖出到本地文件夹或桌面。 5. 使用鼠标右键单击“connections.xml”文件时将出现一个快捷菜单。在菜单中，单击“打开方式”，然后选择“记事本”。 6. 在记事本中，找到字符串“connection=”，然后在该字符串中搜索“PWD =”。删除“PDW=”之后和“;”之前的任何字符，因为这些字符是未正确保存的连接凭据。 7. 保存connections.xml文件，然后关闭记事本。 8. 将connections.xml文件拖回到ZIP文件夹，确保其放置在ZIP文件的xl文件夹中。 9. 将ZIP文件的文件扩展名改回为原来的.xlsx。 10. 在Excel 2007中打开文档，单击“数据”菜单，然后单击功能区连接部分中的“全部刷新”。请确认系统是否提示您输入密码。 * 使用Excel 2007通过数据连接加密文件 1. 在Excel 2007中打开包含保存的数据连接的.xlsx文件 2. 单击“Microsoft Office按钮”，指向“准备”，然后单击“加密文档”。 3. 键入密码（最多255个字符）。默认下，将使用AES 128位加密来加密文档内容（使用密码作为加密密钥） * 在Excel 2007中，以Excel 97-2003文件格式保存此文件。 1. 在Excel 2007中打开包含保存的数据连接的.xlsx文件 2. 单击“Microsoft Office按钮”，指向“另存为”，然后单击“Excel 97-2003工作簿” 3. 为工作簿键入文件名，然后按“保存”按钮 厂商补丁： Microsoft --------- Microsoft已经为此发布了一个安全公告（MS08-043）以及相应补丁: MS08-043：Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (954066) 链接：<a href=http://www.microsoft.com/technet/security/Bulletin/MS08-043.mspx?pf=true target=_blank>http://www.microsoft.com/technet/security/Bulletin/MS08-043.mspx?pf=true</a>