CVE-2017-0261 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程代码执行漏洞 (RCE)。 💥 **后果**：攻击者可通过特制 **EPS文件** 执行任意代码或导致 **拒绝服务 (DoS)**。

🔍 **根本原因**：**UAF (Use-After-Free)** 漏洞。 📝 **细节**：由 `FLTLDR.EXE` 渲染嵌入式 **EPS文件** 时，利用 PostScript 的 `save-restore` 操作触发。

📦 **受影响组件**：**Microsoft Office** 套件。 📅 **具体版本**： - Office 2010 SP2 - Office 2013 SP1 - Office 2016

🕵️ **黑客能力**： - **完全控制**：在受影响应用上下文中执行 **任意代码**。 - **破坏服务**：造成 **拒绝服务**，导致程序崩溃。

⚡ **利用门槛**：**低**。 📩 **触发方式**：用户只需 **打开** 或 **插入** 包含格式错误的图形图像（EPS）的文件即可触发，无需特殊配置。

💻 **现成Exp**：**有**。 🔗 **PoC来源**：GitHub 上有多个分析仓库（如 `kcufId/eps-CVE-2017-0261`），包含加载 EPS 的测试工具及漏洞原始文件。

🔎 **自查方法**： 1. 检查 Office 版本是否为 **2010 SP2/2013 SP1/2016**。 2. 扫描文档中是否嵌入异常的 **EPS文件**。 3. 关注 `EPSIMP32.FLT` 相关组件的调用行为。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2017-05-12 微软官方安全公告已发布，建议立即安装最新安全补丁。

🚧 **临时规避**： - **禁用宏/脚本**：限制 Office 打开外部文件的能力。 - **文件过滤**：在网关或终端拦截可疑的 **EPS格式** 文件。 - **用户教育**：警惕来源不明的 Office 文档。

🔥 **紧急程度**：**高**。 ⚠️ **建议**：鉴于 **RCE** 危害极大且利用简单，建议 **立即** 升级 Office 至最新安全版本或应用官方补丁。