360-2017年度安全报告（网络安全）——Office-2017.12-24页.pdfVIP

2017 年度安全报告 ——Office CVE-2017-0199 OLE 对象中的逻辑漏洞 CVE-2017-0262 EPS 中的类型混淆漏洞 CVE-2017-8570 OLE 对象中的逻辑漏洞 CVE-2017-8759 .NET Framework 的逻辑漏洞 CVE-2017-11292 Flash 类型混淆漏洞 CVE-2017-11826 OOXML 类型混淆漏洞 CVE-2017-11882 隐藏 17 年的陈年老洞 360 Computer Emergency Rediness Team, December 2017 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 cert@360.cn 2017 年度安全报告——Office 2017 年 Office 攻击依然活跃 微软的 Office 套件在全球范围内的各个平台拥有广泛用户，它的安全问题一直是信息安全 行业关注的一个重点。根据调查，2017 的网络攻击行为依然在大量使用 Office 相关漏洞。 通过对漏洞文档抽样分析，发现攻击者最喜欢利用的载体为 Office, 其次是 RTF（Rich Text Format）。除了自身漏洞的利用，还会复合其他漏洞到 Office 攻击场景中。本文是 360CERT 对 2017 年 Office 相关漏洞的总结。 2 360 Computer Emergency Rediness Team, December 2017 2017 年度安全报告——Office Microsoft Office 是一套由微软公司开发的办公软件套装，它可 以 在 Microsoft Windows、Windows Phone、Mac、iOS 和 Android 等系统上运行。作为微软最成功的两个产品，Windows 和 Office，拥有绝对的市场占有率。同时，他们安全问题也是黑 客们关注的焦点，是网络攻击的绝佳途径。查阅微软 2017 年的安 全更新，Office 系列以 482 次位于次席。 七月份的 BlackHat 大会上， Pwnie Awards 将年度最佳客户