據(jù)Freebuf報(bào)道，近日，國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于WPS Office緩沖區(qū)錯(cuò)誤漏洞的情況報(bào)送。

根據(jù)百度百科介紹，WPS Office是由金山軟件股份有限公司自主研發(fā)的一款辦公軟件套裝，可以實(shí)現(xiàn)辦公軟件最常用的文字、表格、演示等多種功能。具有內(nèi)存占用低、運(yùn)行速度快、體積小巧、強(qiáng)大插件平臺(tái)支持、免費(fèi)提供海量在線存儲(chǔ)空間及文檔模板、支持閱讀和輸出PDF文件、全面兼容微軟Office97-2010格式(doc/docx/xls/xlsx/ppt/pptx等)獨(dú)特優(yōu)勢(shì)。

據(jù)稱(chēng)，WPS Office 2016個(gè)人版(10.1.0.6207)及之前版本和WPS Office 2016專(zhuān)業(yè)版(10.8.0.5715)及之前版本存在安全漏洞。WPS Office中存在越邊界讀取漏洞(CNNVD-201702-646)。該漏洞是由于WPS Office 文字的docReader模塊在調(diào)用‘memcpy()’函數(shù)時(shí)，程序沒(méi)有充分執(zhí)行邊界檢查。導(dǎo)致攻擊者可利用該漏洞造成拒絕服務(wù)(越邊界讀取)。

漏洞存在的危害有，攻擊者可通過(guò)構(gòu)造惡意文件，并誘導(dǎo)本地用戶打開(kāi)該文件，可造成WPS Office軟件進(jìn)程崩潰，同時(shí)造成部分進(jìn)程數(shù)據(jù)泄露。

截至目前，WPS官方暫未修復(fù)該漏洞，但已向CNNVD反饋修復(fù)進(jìn)度。在該軟件發(fā)布升級(jí)版本之前，建議受影響用戶不要用WPS查看來(lái)歷不明的文件，以免遭受網(wǎng)絡(luò)攻擊。